어떤 유형의 보안 문제에 대해 보상받을 수 있는 지 명시되어 있는 보상책을 자세히 살펴보세요. 연락 양식 (이 페이지 아래에 버튼을 통해 사용 가능)을 통해 제출된 보고서만 보상 대상으로 간주됩니다.
Doist에서 버그 바운티 프로그램은 보안 노력의 중요한 구성 요소입니다. 보안 이슈를 발견한 경우, 저희에게 알려주세요. 노력에 대한 금전적 보상을 받을 수도 있습니다.
적격성
- 바운티 자격은 맨 먼저 이슈를 보고해야 합니다.
- 이슈를 재현하고 해결하기 위해 저희 팀에서 필요로하는 추가 정보를 제공할 수 있어야 합니다.
프로그램 규칙
- HackerOne의 공시 지침을 따르세요.
- 연구의 일환으로 생성한 테스트 데이터 또는 계정을 삭제하세요.
- 엔드 유저와 소통하거나 공격하지 마세요.
- 자격 증명을 포함하여 도난 당한 사용자 데이터에 관여하지 마세요.
- DoS 공격을 포함하여 자동화된 스캔 또는 테스팅을 사용하지 마세요.
- 피싱과 같은 소셜 엔지니어링 공격을 사용하지 마세요.
- Doist 직원 또는 장비의 물리적 테스트에 관여하지 마세요.
적격 대상
- www.todoist.com
- www.twist.com
- 현재 버전의 윈도우, 맥OS, 리눅스, iOS 및 안드로이드용 Todoist 및 Twist
- 테스트 목적으로, todoistbounty@protonmail.com을 피해자 계정으로 사용하세요.
보고서 제출
- 명확하게 재현 가능한 단계, 제품 및/또는 사용자에 영향, 테스트 데이터와 함께 사용한 모든 테스트 계정을 포함한 자세한 보고서를 제공하세요.
- 독립적인 취약점을 개별 티켓으로 보고하세요.
- 보고서에 취약점을 설명하는 명확한 제목을 제공하세요.
- 제출물에는 취약점 재현에 대한 서면 지침이 포함되어야 합니다. 명확한 재현 단계가 없거나 영상 PoC만 포함하는 보고서는 보상 대상에서 제외될 수 있습니다.
보상
다음과 같은 경우에 금전적 보상을 받을 수 있습니다:- 제품 취약점을 맨 먼저 제출한 사람이어야 합니다
- 취약점은 저희 팀에 의해 유효한 보안 이슈로 간주되어야 합니다
- 모든 프로그램 규칙을 준수해야 합니다
모든 바운티 금액은 각 보고서를 평가하고 받을 금전적 보상 금액을 결정하는 심각도 수준을 할당하는 저희 팀에 의해 결정됩니다. 심각도 수준은 취약성 유형과 잠재적 영향에 따라 내부적으로 결정됩니다. 아래에서 각 심각도 수준에 대한 샘플 개요를 확인할 수 있습니다:
- 200 HTTP 무응답 코드, 앱 또는 서버 오류 등과 같이 보안과 관련이 없는 이슈.
- 로그아웃된 CSRF, HTTP 보안 헤더 누락, SSL 오류, 패스워드 정책 이슈, 또는 세밀한 동작이 없는 페이지의 클릭재킹과 같이 명확한 보안 영향이 없는 이슈.
- 더 이상 사용 또는 유지되지 않는 오래된 앱 또는 구성 요소에 영향을 미치는 이슈.
- 타사 앱 또는 서비스 (예. Firebase, ZenDesk)와 같이 타사에 영향을 미치는 이슈.
- SPF 및 DKIM과 같은 스팸 또는 사회 공학 기술 및 DNSSEC 부족과 관련된 이슈.
- `X-Powered-by` 및 `서버` 응답 헤더와 같은 서버 공개 정보와 관련된 이슈. 공개된 정보에 관련 CVE 공개와 함께 서버 버전이 포함되어 있는 경우 예외가 있을 수 있습니다.
- 민감한 정보가 누출될 수 있다는 것이 입증되지 않는 한, 고의적 활성 요청을 수행하는 서비스에 대한 서버 측 요청 위조 (SSRF)와 관련된 문제.
- 극히 드문 사용자 상호작용을 요구하는 버그. (예. SSO 로그인을 통한 계정 탈취)
- 대상 기기에 접근 권한이 필요하거나 통제할 수 없는 보고. 이것은 브라우저 쿠키 및/또는 사용자를 가장하기 위해 사용되는 기타 토큰 접근, 사용자의 이메일 주소 접근 등을 포함하지만, 국한되지 않습니다.
- 사전에 인증된 페이지에서 발생하는 클릭재킹 이슈, `X-Frame-Options` 부족, 또는 기타 악용할 수 없는 클릭재킹 이슈.
- 서버가 `Access-Control-Allow-Credentials: true` 헤더로 응답하지 않는 CORS(Cross-OriginResourceSharing) 이슈.
- 악용 가능한 취약점으로 이어지지 않는 한, 누락된 속도 제한.
- 가입, 로그인 및 패스워드 재설정 페이지에서 사용자 이메일 열거.
- 경로가 `/.well-known` (well-known URI)으로 시작하는 URI로 유효한 파일.
- 패스워드 재설정을 통한 2단계 인증 우회
- 클라이언트 앱만 해당
- 암호화되지 않은 상태로 저장된 사용자 데이터
- 난독화 부족
- 실행 중인 코드 또는 환경을 조작하는 런타임 해킹 공격
- 리다이렉션 열기
- 서버 구성 오류 또는 프로비저닝 오류
- 민감한 사용자 데이터를 제외한 정보 유출 또는 공개
- 서버가 타사 `Origin` 헤더가 있는 요청에 대해 (`*.todoist.com`, `*.twist.com`가 아닌) `Access-Control-Allow-Credentials: true` 헤더로 응답하는 Cross-OriginResourceSharing(CORS) 이슈.
- 반사된 XSS
- 대상 URL이 'Strict-Transport-Security' (또는 HSTS) 헤더로 응답하지 않는 경우, 혼합 콘텐츠 이슈. 위험은 여전히 존재하지만 도메인/하위 도메인당 단일 상호작용으로 제한됩니다 (HSTS 값에 따라 다름). 2021년에는 브라우저가 HTTPS 기본값으로 전환되어 이 문제를 더욱 완화시켰습니다.
- 기타 심각도가 낮은 이슈
- CSRF / XSRF
- 내부 서비스에 대한 SSRF
- 저장된 XSS
- 기타 심각도가 중간인 이슈
- 민감한 사용자 데이터를 포함한 정보 유출 또는 공개
- 기타 심각도가 높은 이슈
- SQL 주입
- 원격 코드 실행
- 권한 에스컬레이션
- 브로큰 인증
- 내부 서비스에 대한 SSRF로 인해 심각한 보안 위험 발생
- 기타 심각도가 치명적인 이슈
| 앱 | 없음 | 낮음 | 중간 | 높음 | 매우 높음 |
|---|---|---|---|---|---|
| Todoist | $0 | $100 | $200 | $500 | $1000 |
| Twist | $0 | $50 | $100 | $250 | $500 |
안드로이드 모바일 앱의 취약점은 구글 플레이 보안 보상 프로그램을 통해 추가 바운티를 받을 수 있습니다.
모든 바운티는 페이팔을 통해 지급됩니다.
Doist 팀은 제출된 취약점이 적격한 지 결정할 권리를 보유합니다.
Doist 버그 바운티 팀이 내린 바운티 금액에 대한 모든 결정은 최종적입니다.