마인리스트는 보안을 최우선으로 생각합니다.
서비스에서 보안 문제를 발견하셨다면, 저희에게 알려주세요. 신속하게 해결하겠습니다.
범위
•
마인리스트 (https://minelist.kr)
소개
마인리스트는 마인크래프트 서버의 실시간 서버 상태를 모니터링 해주고, 추천수를 바탕으로 순위를 매겨주는 서비스입니다.
보안 사고를 미연에 방지하기 위해 본 프로그램을 운영하고 있습니다.
참여 규칙
•
영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
•
프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
•
운영중인 서비스이므로 서비스 가용성에 영향을 주는 행위는 삼가 주시기 바랍니다.
평가 기준
아래 내용과 함께, 티켓 내용을 종합적으로 검토하여 평가합니다.
•
공격에 성공하기 위한 권한 필요도 (e.g 로그인 없이 가능, 일반 계정 필요, 관리자 계정 필요)
•
취약점의 기술적 영향도 (e.g 공격 벡터, 공격 복잡도 등)
•
공격 성공 시 비즈니스 영향도 (e.g 정보유출, 게시물 삭제 및 변조, 비인가 페이지 접근 등)
•
취약점 식별 및 증명 과정의 구체성 (e.g 테스트 과정, 공격 증명 코드 등)
유효한 티켓의 경우
아래 내용에 해당하는 티켓을 유효한 티켓으로 평가합니다.
•
Client-Side 취약점
◦
클라이언트 측 코드 실행
◦
CSRF
◦
Header Injection
◦
정보 탈취
•
Server-Side 취약점
◦
서버 측 코드 실행
◦
인증 우회
◦
정보 탈취
◦
권한이 없는 콘텐츠 접근 및 변경, 삭제
스팸 또는 유효하지 않은 티켓의 경우
•
참여 규칙을 위반한 제보
•
다른 곳에 제보한 중복 취약점
•
이미 제보되어 평가중이거나 패치중인 티켓
•
취약점의 상세 정보를 확인할 수 없거나, 재현이 불가능한 경우
•
사용자 개입을 과도하게 요구하여 악용 가능성이 낮은 취약점
•
피해가 매우 미미하거나 공격자가 굳이 취약점을 악용에 사용할 필요가 없는 경우
•
임직원 및 관계자가 제출한 티켓
•
captcha solver 등을 이용하여 추천수를 조작하는 방법 등.
제보 방법
취약점은 절대 고객센터를 통해 작성하지 말아 주시기 바랍니다.
버그캠프를 통해 아래 내용을 포함하여 제보해 주시기 바랍니다.
•
취약점 이름
•
취약점의 발견 방법
•
버그를 재현하기 위한 코드 (Proof of Concept)
•
발생한 서비스 및 도메인
•
해당 취약점이 보안상 어떤 위협이 될 수 있는지에 대한 설명
