Bug Bounty 받으면서 CVE 받기

 

국내에서 CVE와 버그바운티를 함께 주는 곳은 흔치 않다.

 

국내에서 버그바운티를 운영하는 기관으로는

patch-day https://patchday.io/

kakao https://bugbounty.kakao.com/

naver https://bugbounty.naver.com/

kisa https://knvd.krcert.or.kr

bug camp https://bugcamp.io

가 떠오른다.

 

해외 버그바운티 플랫폼으로는

hacker-one https://hackerone.com/opportunities/all

huntr dev https://huntr.com

google vrp https://bughunters.google.com

가 규모있는 플랫폼이며

google

apple https://security.apple.com/

microsoft https://www.microsoft.com/en-us/msrc/bounty

telegram

등의 매우 다수의 기업에서 버그바운티를 진행하고 있다.

 

huntr dev는 최근에 ai liberary 위주로 방향을 전향하였고, 이로 인해 기존 리포트는 다수가 pending 된 상황이다...

patch-day는 티오리에서 나온 플랫폼으로 9개의 타겟을 제공하고 있으며, 디스코드에서 인증된 버그헌터에 한하여 비공개 버그바운티도 열고 있다.

드림핵 취약점의 경우 바운티도 적고 accept도 거의 안해준다...

kakao도 마찬가지로 accept을 의도적으로 안하려는게 느껴지는 기업 중 하나이다.

취약점 분석, 처리 기간이 매우 길다는 공통점이 존재한다.

 

kisa의 경우 bounty 규모가 크진 않지만, KVE라는 식별자를 도입한 기관이다. kisa에서는 아직 바운티를 받아보진 못했지만 처리 기간이 분기 단위라 매우 길다는 것을 확인할 수 있었다.

hacker-one 은 매우 많은 타겟을 제공하고 있으며, bounty 규모도 전반적으로 큰 편이다.

응답 속도도 빨라서 비교적 재밌는 플랫폼이었다.

주말을 제외하면 시차 반영해서 1일 내에 답장이 온다는 장점이 있다.

 

google vrp는 설명할 필요도 없을 것 같고, telegram은 개인적으로 bounty를 지급하는 장벽이 낮다는 생각이 들 정도로 쉽게 bounty를 제공한다. apple은 빠른 응답은 아니지만 bounty 규모가 크고 cve의 가치가 상대적으로 높다는 장점이 있다.

naver는... reject만 엄청 당해서 아직 잘은 모르지만, accept 기준이 모호하고 높은 것 같다.