버그 바운티 보고서
벤틀리는 사용자의 데이터 안전 및 보안을 지키고 해당 방식을 투명하게 유지할 것을 약속합니다. 벤틀리의 적극적인 개인정보 및 데이터 보호, 보안, 규정 준수 표준 및 인증이 이를 증명합니다.
벤틀리시스템즈의 책임 있는 공개 프로그램 지침
벤틀리시스템즈에서는 벤틀리 시스템과, 제품의 보안을 the 보안 중요하게 분석 포털을 통해 확인할 수 있습니다. 생각하며 보안 제품 커뮤니티를 보안 소중히 the 보안 여깁니다. 이 보안 취약성을 중요하게 보안 공개하면 사용자의 보안과 개인정보 보호를 보장하는 데 도움이 됩니다.
1. 일반 지침
벤틀리시스템즈는 모든 연구원에게 다음을 요구합니다.
- 보안 테스트 중 개인정보 침해, 사용자 경험 저하, 프로덕션 시스템 중단 및 데이터 파괴 방지
- 아래 명시된 범위 내에서만 연구 수행
- 아래 지정된 커뮤니케이션 채널을 사용하여 당사에 취약성 정보 보고
- 발견한 취약성이 수정될 때까지 귀하와 벤틀리시스템즈 간에 취약성 관련 정보를 기밀로 유지
- 귀하의 연구와 관련하여 소송하거나 소송을 지원하지 않음
- 귀하와 협력하여 문제를 신속하게 파악 및 해결함
2. 행동 강령 및 법적 책임
이 정책에 따라 취약성 연구를 진행할 때 당사는 이 연구에 대해 다음과 같이 간주합니다.
- 이 연구는 컴퓨터 사기 및 남용에 관한 법률(CFAA)(또는 이와 유사한 주법)에 따라 승인되며, 당사는 이 정책을 선의에 의해 우발적으로 위반한 경우 귀하에 대해 소송을 제기하거나 이를 지원하지 않습니다.
- 이 연구는 디지털 밀레니엄 저작권법(DMCA)에서 면제되며, 당사는 기술 통제 우회로 귀하에게 청구하지 않습니다.
- 이 연구는 보안 연구 수행에 방해될 수 있는 당사 이용 약관의 제한에서 면제되며, 당사는 이 정책에 따라 진행된 작업에 대해 이 제한을 제한적으로 면제합니다.
- 이 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 신의성실의 원칙에 따라 진행됩니다.
귀하는 언제나처럼 모든 관련 법률을 준수해야 합니다. 귀하의 보안 연구가 이 정책과 일치하는지 여부에 대해 우려되거나 확신이 들지 않을 경우, 더 진행하기 전에 아래 지정된 커뮤니케이션 채널 중 하나를 통해 보고서를 제출하십시오.
3. 범위/범위를 벗어남
범위 | 범위를 벗어남 |
---|---|
|
|
4. 적격 취약성/제외 사항
적격 취약성 | 제외 사항 |
---|---|
|
|
*타임스탬프와 하위 도메인이 포함된 2개 스크린샷 형식의 PoC가 있는 경우에만 보고하십시오. 이 스크린샷은 하위 도메인이 최소 1시간 동안 해제되어 있었음을 증명해야 합니다. 검색 도구는 하위 도메인 변경이 실행되는 동안의 찰나를 포착하는 경우가 많으며, 이는 취약성으로 보일 수 있지만 DNS 레코드는 곧 삭제됩니다. 스크린샷을 제출하면 허위 취약성에 대한 보고를 방지하여 귀하와 당사 팀 모두 시간을 절약할 수 있습니다.
부분 PoC(타임스탬프 증명 1개이거나 전혀 없음)가 있는 보고서는 1차 보고서로 처리되지 않습니다.
주의! PoC로 보고된 하위 도메인을 실제로 인수하는 것은 금지되어 있습니다.
5. 보고 방법
당사 제품 또는 플랫폼 중 하나에서 보안 취약성을 발견했다고 생각되면 이 페이지의 양식을 작성해 주십시오.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
양식에는 다음 정보가 포함되어 있어야 합니다.
- URL, 전체 HTTP 요청/응답, 취약성 유형과 같은 정보가 포함된 취약성에 대한 자세한 설명
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- 연락처, 이름, 이메일, 전화번호, 위치. 이 정보가 없는 제출물은 고려하지 않습니다.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. 참여 규칙
- DoS는 엄격히 금지됩니다.
- 모든 형태의 자격 증명 무차별 대입은 엄격히 금지됩니다.
- 보고된 취약성을 수정하기 전에 공개하는 것은 금지됩니다.
- 귀하는 당사의 성과를 파괴 또는 저하시키거나 당사 사용자 및 해당 데이터의 개인정보 보호 또는 무결성을 침해할 수 없습니다.
- 취약성(일반 PoC 제외)을 악용하는 것은 엄격히 금지되며 관련 법률에 따라 기소됩니다.
- 취약성으로 인해 의도하지 않은 데이터 액세스가 제공되는 경우 다음과 같이 해야 합니다.
- 개념 증명을 효과적으로 입증하는 데 필요한 최소 수준으로 액세스하는 데이터의 양 제한
- 테스트 중단
- 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보와 같은
사용자 데이터를 발견하면 즉시 보고서를 제출하십시오.
- 벤틀리는 갈취 또는 기타 강압적인 범죄 행위(예: 발견된 취약성을 악용하지 않는 대가로 선지불 요구)에 대응하지 않습니다.
7. 공시
취약성이 해결되었다는 별도의 통보가 없는 한, 90일 동안 취약성에 대한 공개를 보류하십시오. 그렇게 하지 않으면 소송으로 이어질 수 있습니다.
8. 중복
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. 취약성 분류
- 보고된 취약성을 분석합니다.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. 보상
취약성 예시 | 가격 범위(USD)** |
---|---|
Brocken 액세스 제어(권한 에스컬레이션) | 250-450 |
비즈니스 로직 문제 | 100-300 |
교차 출처 리소스 공유(CORS) | 100-200 |
교차 사이트 요청 위조(CSRF) | 150-250 |
교차 사이트 스크립팅(XSS) | 100-200 |
DLL 하이재킹 | 50 |
하이퍼링크 삽입 | 50 |
식별 및 인증 | 250-450 |
안전하지 않은 직접 개체 참조(IDOR) | 250-450 |
리디렉션 열기 | 50-150 |
기타 | 0-500 |
원격 코드 실행 | 600 |
보안 구성 오류 | 50-250 |
민감한 데이터 노출 | 50-200 |
Secrets leak | 200-500 |
세션 구성 오류 | 50-200 |
SQL 인젝션 | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**동일한 문제의 여러 인스턴스는 최대 3배 가격까지만 보상됩니다.
**제품의 다양한 환경(dev-, qa-, prod-)에서 발생한 문제에 대한 보고서는 하나로 계산합니다.
당사는 언제든지 어떤 이유로든 이 정책을 변경할 수 있는 권리를 보유하며 모든 보고에 대한 보상을 보장할 수 없습니다. 보상은 PayPal을 통해서만 합니다.
중요. 유효한 PayPal 주소만 보내 주시기 바랍니다. 원래 주소 이외의 다른 주소는 결제에 고려하지 않습니다. 어떤 이유로든 거래가 실패하는 경우(예: PayPal이 거래를 거부함, 수취 은행이 지불을 수락할 수 없음, 최대 금액 한도에 도달함, 웹사이트 또는 기타 지침을 통해서만 결제 수락 등), 결제가 취소되고 다시 제출하지 않습니다.
벤틀리시스템즈는 사전 통지 없이 언제든지 책임 공개 프로그램 및 보상 시스템을 철회할 수 있는 권리를 보유합니다.
보고서 제출
목차
벤틀리시스템즈는 모든 연구원에게 다음을 요구합니다.
- 보안 테스트 중 개인정보 침해, 사용자 경험 저하, 프로덕션 시스템 중단 및 데이터 파괴 방지
- 아래 명시된 범위 내에서만 연구 수행
- 아래 지정된 커뮤니케이션 채널을 사용하여 당사에 취약성 정보 보고
- 발견한 취약성이 수정될 때까지 귀하와 벤틀리시스템즈 간에 취약성 관련 정보를 기밀로 유지
- 귀하의 연구와 관련하여 소송하거나 소송을 지원하지 않음
- 귀하와 협력하여 문제를 신속하게 파악 및 해결함
이 정책에 따라 취약성 연구를 진행할 때 당사는 이 연구에 대해 다음과 같이 간주합니다.
- 이 연구는 컴퓨터 사기 및 남용에 관한 법률(CFAA)(또는 이와 유사한 주법)에 따라 승인되며, 당사는 이 정책을 선의에 의해 우발적으로 위반한 경우 귀하에 대해 소송을 제기하거나 이를 지원하지 않습니다.
- 이 연구는 디지털 밀레니엄 저작권법(DMCA)에서 면제되며, 당사는 기술 통제 우회로 귀하에게 청구하지 않습니다.
- 이 연구는 보안 연구 수행에 방해될 수 있는 당사 이용 약관의 제한에서 면제되며, 당사는 이 정책에 따라 진행된 작업에 대해 이 제한을 제한적으로 면제합니다.
- 이 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 신의성실의 원칙에 따라 진행됩니다.
귀하는 언제나처럼 모든 관련 법률을 준수해야 합니다. 귀하의 보안 연구가 이 정책과 일치하는지 여부에 대해 우려되거나 확신이 들지 않을 경우, 더 진행하기 전에 아래 지정된 커뮤니케이션 채널 중 하나를 통해 보고서를 제출하십시오.
범위 |
---|
|
범위를 벗어남 |
|
적격 취약성 |
---|
|
제외 사항 |
|
당사 제품 또는 플랫폼 중 하나에서 보안 취약성을 발견했다고 생각되면 이 페이지의 양식을 작성해 주십시오.
양식에는 다음 정보가 포함되어 있어야 합니다.
- URL, 전체 HTTP 요청/응답, 취약성 유형과 같은 정보가 포함된 취약성에 대한 자세한 설명
- 문제를 재현하는 데 필요한 정보
- 취약성을 보여주는 스크린샷 및/또는 비디오(해당하는 경우)
- 연락처, 이름, 이메일, 전화번호, 위치. 이 정보가 없는 제출물은 고려하지 않습니다.
- 중요 정보. 최초 제출은 양식을 통해서만 할 수 있습니다. 양식에 언급되지 않은 질문이 있는 경우 [email protected]으로 이메일을 보내 주십시오.
- DoS는 엄격히 금지됩니다.
- 모든 형태의 자격 증명 무차별 대입은 엄격히 금지됩니다.
- 보고된 취약성을 수정하기 전에 공개하는 것은 금지됩니다.
- 귀하는 당사의 성과를 파괴 또는 저하시키거나 당사 사용자 및 해당 데이터의 개인정보 보호 또는 무결성을 침해할 수 없습니다.
- 취약성(일반 PoC 제외)을 악용하는 것은 엄격히 금지되며 관련 법률에 따라 기소됩니다.
- 취약성으로 인해 의도하지 않은 데이터 액세스가 제공되는 경우 다음과 같이 해야 합니다.
- 개념 증명을 효과적으로 입증하는 데 필요한 최소 수준으로 액세스하는 데이터의 양 제한
- 테스트 중단
- 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보와 같은
사용자 데이터를 발견하면 즉시 보고서를 제출하십시오.
- 벤틀리는 갈취 또는 기타 강압적인 범죄 행위(예: 발견된 취약성을 악용하지 않는 대가로 선지불 요구)에 대응하지 않습니다.
취약성이 해결되었다는 별도의 통보가 없는 한, 90일 동안 취약성에 대한 공개를 보류하십시오. 그렇게 하지 않으면 소송으로 이어질 수 있습니다.
문제 또는 유사한 문제를 보고한 첫 번째 연구자만 이 정책에 따라 고려합니다. 여기에는 서로 다른 환경(예: dev-, qa-, prod-)에서 발생한 동일한 문제에 대한 보고서가 포함됩니다.
제출이 접수되면
- 보고된 취약성을 분석합니다.
- 제출이 유효하고 이 정책의 요구 사항을 충족하는 것으로 확인되면 보상을 받을 수 있습니다.
- 문제가 해결되면 알려드립니다.
취약성 예시 | 가격 범위(USD)** |
---|---|
Brocken 액세스 제어(권한 에스컬레이션) | 200-400 |
비즈니스 로직 문제 | 100-300 |
교차 출처 리소스 공유(CORS) | 100-200 |
교차 사이트 요청 위조(CSRF) | 100-200 |
교차 사이트 스크립팅(XSS) | 50-150 |
디렉터리 순회 | 100-200 |
DLL 하이재킹 | 100-200 |
하이퍼링크 삽입 | 50 |
식별 및 인증 | 200-400 |
안전하지 않은 직접 개체 참조(IDOR) | 200-400 |
리디렉션 열기 | 50-150 |
기타 | 0-500 |
원격 코드 실행 | 500 |
보안 구성 오류 | 50-200 |
민감한 데이터 노출 | 50-500 |
세션 구성 오류 | 50-150 |
SQL 인젝션 | 200-400 |