본문 바로가기

0-day & 1-day5

Bug Bounty 받으면서 CVE 받기 국내에서 CVE와 버그바운티를 함께 주는 곳은 흔치 않다. 국내에서 버그바운티를 운영하는 기관으로는 patch-day https://patchday.io/ kakao https://bugbounty.kakao.com/ naver https://bugbounty.naver.com/ kisa https://knvd.krcert.or.kr bug camp https://bugcamp.io 가 떠오른다. 해외 버그바운티 플랫폼으로는 hacker-one https://hackerone.com/opportunities/all huntr dev https://huntr.com google vrp https://bughunters.google.com 가 규모있는 플랫폼이며 google apple https://secu.. 2024. 1. 28.

GITHUB에 공개된 project 취약점 CVE request PROCESS github는 개인적으로 CVE를 발급,퍼블리시하기에 가장 좋은 CNA라고 생각한다. github에 공개된 repo에 security.md가 활성화 되어 있다면, 아래 기능을 이용할 수 있다. *활성화 안된 경우 Suggest a policy 를 진행한 후, 주인이 승인하면 아래 기능을 이용할 수 있다. 아래와 같이 보인다면, 이미 security.md가 활성화 된 것이다. report a vulnerability 를 누르면 취약점 설명란이 나타난다. 취약점에 대한 자세한 내용을 기술한 후 Submit report를 눌러서 마친다. 매우 빠른 시일내에 CVE publish 까지 진행된다. ( 대부분 1주일 이내, 빠르면 2일 이내 ) github profile에도 노출된다. (개수가 엄청 늦게 업데이트되.. 2024. 1. 27.

Apple 취약점 CVE request PROCESS https://security.apple.com Apple Security Research Hear about the latest advances in Apple security from our engineering teams, send us your own research, and work directly with us to be recognized and rewarded for helping keep our users safe. security.apple.com 애플은 위 페이지에서 취약점 제보를 받고 있다. CNA에 등록된 기업이라 취약점 제보 후 바운티 + CVE publish 까지 한번에 진행해준다. 위 페이지에 접근한 후, 우측 상단에 New Report 를 눌러준다. 오른쪽 페이지에 Repo.. 2024. 1. 27.

non-CNA 제품 MITRE CVE PUBLISH PROCESS 이전 포스팅 내용을 통해 CVE를 요청하는 방법을 정리했다. 하지만 해당 방법을 통해 CVE를 발급받을 수는 있지만, publish 할 수는 없다. CVE가 publish되기 위해서는 벤더사에서 패치 내역등을 공개해줘야 한다. 이번에는 CVE 발급 후 publish 시키는 방법을 정리하려 한다. https://en.bandisoft.com/bandiview/history/ 벤더사에 취약점을 제보하고 패치된 후, 위 내용처럼 패치노트에 크레딧을 올려주셨다. 이 내용을 바탕으로 CVE publish 요청을 넣을 수 있다. 지금은 위 사진과 같이 RESERVED로 남아있는 상태이다. https://cveform.mitre.org CVE - Common Vulnerabilities and Exposures (C.. 2024. 1. 27.

non-CNA 제품 MITRE CVE REQUEST PROCESS CVE 발급받을 수 있는 방법 중 하나인 MITRE를 이용하는 방법을 정리하려 한다. CNA라는 CVE 발급 권한이 부여된 기관의 제품의 경우, 취약점 제보 후 CVE 등록, 퍼블리시까지 모두 진행해준다. 하지만 그 외의 제품의 경우, CVE 발급 절차를 MITRE 를 통해 진행해야한다. 아래 사이트를 이용한다. https://cveform.mitre.org CVE - Common Vulnerabilities and Exposures (CVE) Attack Type Definition Remote The vulnerability can be exploited through a network. The attacker may be either on the adjacent or remote network. L.. 2024. 1. 27.

이전 1 다음

공지사항

최근글

인기글

최근댓글

태그

전체 방문자

Today :

Yesterday :

티스토리툴바