/ 버그 바운티 보고서

버그 바운티 보고서

버그 바운티 보고서

벤틀리는 사용자의 데이터 안전 및 보안을 지키고 해당 방식을 투명하게 유지할 것을 약속합니다. 벤틀리의 적극적인 개인정보 및 데이터 보호, 보안, 규정 준수 표준 및 인증이 이를 증명합니다.

벤틀리시스템즈의 책임 있는 공개 프로그램 지침

벤틀리시스템즈에서는 벤틀리 시스템과, 제품의 보안을 the 보안 중요하게 분석 포털을 통해 확인할 수 있습니다. 생각하며 보안 제품 커뮤니티를 보안 소중히 the 보안 여깁니다. 보안 취약성을 중요하게 보안 공개하면 사용자의 보안과 개인정보 보호를 보장하는 데 도움이 됩니다. 

1. 일반 지침

벤틀리시스템즈는 모든 연구원에게 다음을 요구합니다.

  • 보안 테스트 중 개인정보 침해, 사용자 경험 저하, 프로덕션 시스템 중단 및 데이터 파괴 방지
  • 아래 명시된 범위 내에서만 연구 수행
  • 아래 지정된 커뮤니케이션 채널을 사용하여 당사에 취약성 정보 보고
  • 발견한 취약성이 수정될 때까지 귀하와 벤틀리시스템즈 간에 취약성 관련 정보를 기밀로 유지
당사에 문제를 보고할 때 이러한 지침을 따르면 당사는 다음을 약속합니다.
 
  • 귀하의 연구와 관련하여 소송하거나 소송을 지원하지 않음
  • 귀하와 협력하여 문제를 신속하게 파악 및 해결함

2. 행동 강령 및 법적 책임

이 정책에 따라 취약성 연구를 진행할 때 당사는 이 연구에 대해 다음과 같이 간주합니다.

  • 이 연구는 컴퓨터 사기 및 남용에 관한 법률(CFAA)(또는 이와 유사한 주법)에 따라 승인되며, 당사는 이 정책을 선의에 의해 우발적으로 위반한 경우 귀하에 대해 소송을 제기하거나 이를 지원하지 않습니다.
  • 이 연구는 디지털 밀레니엄 저작권법(DMCA)에서 면제되며, 당사는 기술 통제 우회로 귀하에게 청구하지 않습니다.
  • 이 연구는 보안 연구 수행에 방해될 수 있는 당사 이용 약관의 제한에서 면제되며, 당사는 이 정책에 따라 진행된 작업에 대해 이 제한을 제한적으로 면제합니다.
  • 이 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 신의성실의 원칙에 따라 진행됩니다.

귀하는 언제나처럼 모든 관련 법률을 준수해야 합니다. 귀하의 보안 연구가 이 정책과 일치하는지 여부에 대해 우려되거나 확신이 들지 않을 경우, 더 진행하기 전에 아래 지정된 커뮤니케이션 채널 중 하나를 통해 보고서를 제출하십시오.

3. 범위/범위를 벗어남

범위범위를 벗어남
  • 모든 _bentley.com 하위 도메인
  • 모든 벤틀리시스템즈 데스크탑 제품(CONNECT Edition 이상만 해당)
  • 모든 벤틀리시스템즈 모바일 앱
  • 모든 벤틀리 클라우드 애플리케이션 및 서비스
  • All Bentley Open-Source Projects (including imodeljs.org)
  • 벤틀리시스템의 인프라(VPN, 메일 서버, SharePoint, Skype 등)
  • 사무실 출입(예: 문 열기, 따라 들어가기)과 같은 물리적 테스트 결과
  • 주로 소셜 엔지니어링(예: 피싱, 보이스피싱)에서 파생된 결과
  • '범위' 절에 나열되지 않은 애플리케이션 또는 시스템의 결과
  • 제3자 공급자 및 서비스에서 호스팅하는 모든 서비스
  • https://www.plaxis.ru

4. 적격 취약성/제외 사항

적격 취약성제외 사항
  • 원격 코드 실행
  • DLL 하이재킹
  • SQL 인젝션
  • 교차 사이트 스크립팅(XSS)
  • 식별 및 인증
  • 안전하지 않은 직접 개체 참조(IDOR)
  • 교차 사이트 요청 위조(CSRF)
  • 디렉터리 순회
  • 민감한 데이터 노출
  • 세션 구성 오류
  • Broken Access control (Privilege Escalation)
  • 보안 구성 오류
  • 교차 출처 리소스 공유(CORS)
  • 리디렉션 열기
  • 하위 도메인 인수*
  • 비즈니스 로직 문제
  • 하이퍼링크 삽입
  • 워드 프레스 문제
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • 공개 후 15일 이내에 공개적으로 발표된 인터넷 소프트웨어의 버그
  • Self-XSS(당사는 XSS를 사용하여 어떻게 다른 사용자를 공격할 수 있는지에 대한 증거를 요구함)
  • X-Frame-Options 관련(클릭재킹)
  • 헤더 삽입(헤더 삽입이 어떻게 사용자 데이터 도용으로 이어질 수 있는지를 보여줄 수 없는 경우)
  • 악용할 수 없지만 충돌, 스택 추적 및 유사한 정보 유출 또는 안정성 문제로 이어지는 문제
  • 버전 노출(작업 익스플로잇의 PoC를 제공하지 않는 경우).
  • 오래된 브라우저, 플랫폼 또는 암호화가 필요한 모든 것(예: TLS BEAST, POODLE 등)
  • SPF 및 DKIM 문제를 포함한 스팸 또는 소셜 엔지니어링 기술
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • DoS 공격으로 이어지는 XMLRPC.php 파일 활성화
  • 중요하지 않은 쿠키에 대한 쿠키 플래그 누락
  • 취약성으로 직결되지 않는 보안 헤더 누락(귀하가 PoC를 제공하지 않는 경우)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • 실제적인 심각성이 결여된 이론적 문제
  • UI 및 UX 버그와 맞춤법 오류
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*타임스탬프와 하위 도메인이 포함된 2개 스크린샷 형식의 PoC가 있는 경우에만 보고하십시오. 이 스크린샷은 하위 도메인이 최소 1시간 동안 해제되어 있었음을 증명해야 합니다. 검색 도구는 하위 도메인 변경이 실행되는 동안의 찰나를 포착하는 경우가 많으며, 이는 취약성으로 보일 수 있지만 DNS 레코드는 곧 삭제됩니다. 스크린샷을 제출하면 허위 취약성에 대한 보고를 방지하여 귀하와 당사 팀 모두 시간을 절약할 수 있습니다. 

부분 PoC(타임스탬프 증명 1개이거나 전혀 없음)가 있는 보고서는 1차 보고서로 처리되지 않습니다. 

주의! PoC로 보고된 하위 도메인을 실제로 인수하는 것은 금지되어 있습니다. 

5. 보고 방법

당사 제품 또는 플랫폼 중 하나에서 보안 취약성을 발견했다고 생각되면 이 페이지의 양식을 작성해 주십시오. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

양식에는 다음 정보가 포함되어 있어야 합니다.

  • URL, 전체 HTTP 요청/응답, 취약성 유형과 같은 정보가 포함된 취약성에 대한 자세한 설명
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • 연락처, 이름, 이메일, 전화번호, 위치. 이 정보가 없는 제출물은 고려하지 않습니다.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. 참여 규칙

  • DoS는 엄격히 금지됩니다.
  • 모든 형태의 자격 증명 무차별 대입은 엄격히 금지됩니다.
  • 보고된 취약성을 수정하기 전에 공개하는 것은 금지됩니다.
  • 귀하는 당사의 성과를 파괴 또는 저하시키거나 당사 사용자 및 해당 데이터의 개인정보 보호 또는 무결성을 침해할 수 없습니다.
  • 취약성(일반 PoC 제외)을 악용하는 것은 엄격히 금지되며 관련 법률에 따라 기소됩니다.
  • 취약성으로 인해 의도하지 않은 데이터 액세스가 제공되는 경우 다음과 같이 해야 합니다.
    • 개념 증명을 효과적으로 입증하는 데 필요한 최소 수준으로 액세스하는 데이터의 양 제한
    • 테스트 중단
    • 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보와 같은
      사용자 데이터를 발견하면 즉시 보고서를 제출하십시오.
  • 벤틀리는 갈취 또는 기타 강압적인 범죄 행위(예: 발견된 취약성을 악용하지 않는 대가로 선지불 요구)에 대응하지 않습니다.

7. 공시

취약성이 해결되었다는 별도의 통보가 없는 한, 90일 동안 취약성에 대한 공개를 보류하십시오. 그렇게 하지 않으면 소송으로 이어질 수 있습니다.

8. 중복

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. 취약성 분류

제출이 접수되면
  • 보고된 취약성을 분석합니다.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. 보상

취약성 예시가격 범위(USD)**
Brocken 액세스 제어(권한 에스컬레이션)250-450
비즈니스 로직 문제100-300
교차 출처 리소스 공유(CORS)100-200
교차 사이트 요청 위조(CSRF)150-250
교차 사이트 스크립팅(XSS)100-200
DLL 하이재킹50
하이퍼링크 삽입50
식별 및 인증250-450
안전하지 않은 직접 개체 참조(IDOR)250-450
리디렉션 열기50-150
기타0-500
원격 코드 실행600
보안 구성 오류50-250
민감한 데이터 노출50-200
Secrets leak200-500
세션 구성 오류50-200
SQL 인젝션250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**동일한 문제의 여러 인스턴스는 최대 3배 가격까지만 보상됩니다.

**제품의 다양한 환경(dev-, qa-, prod-)에서 발생한 문제에 대한 보고서는 하나로 계산합니다.

당사는 언제든지 어떤 이유로든 이 정책을 변경할 수 있는 권리를 보유하며 모든 보고에 대한 보상을 보장할 수 없습니다. 보상은 PayPal을 통해서만 합니다. 

중요. 유효한 PayPal 주소만 보내 주시기 바랍니다. 원래 주소 이외의 다른 주소는 결제에 고려하지 않습니다. 어떤 이유로든 거래가 실패하는 경우(예: PayPal이 거래를 거부함, 수취 은행이 지불을 수락할 수 없음, 최대 금액 한도에 도달함, 웹사이트 또는 기타 지침을 통해서만 결제 수락 등), 결제가 취소되고 다시 제출하지 않습니다.

벤틀리시스템즈는 사전 통지 없이 언제든지 책임 공개 프로그램 및 보상 시스템을 철회할 수 있는 권리를 보유합니다.

보고서 제출

목차

벤틀리시스템즈는 모든 연구원에게 다음을 요구합니다.

  • 보안 테스트 중 개인정보 침해, 사용자 경험 저하, 프로덕션 시스템 중단 및 데이터 파괴 방지
  • 아래 명시된 범위 내에서만 연구 수행
  • 아래 지정된 커뮤니케이션 채널을 사용하여 당사에 취약성 정보 보고
  • 발견한 취약성이 수정될 때까지 귀하와 벤틀리시스템즈 간에 취약성 관련 정보를 기밀로 유지
당사에 문제를 보고할 때 이러한 지침을 따르면 당사는 다음을 약속합니다.
 
  • 귀하의 연구와 관련하여 소송하거나 소송을 지원하지 않음
  • 귀하와 협력하여 문제를 신속하게 파악 및 해결함

이 정책에 따라 취약성 연구를 진행할 때 당사는 이 연구에 대해 다음과 같이 간주합니다.

  • 이 연구는 컴퓨터 사기 및 남용에 관한 법률(CFAA)(또는 이와 유사한 주법)에 따라 승인되며, 당사는 이 정책을 선의에 의해 우발적으로 위반한 경우 귀하에 대해 소송을 제기하거나 이를 지원하지 않습니다.
  • 이 연구는 디지털 밀레니엄 저작권법(DMCA)에서 면제되며, 당사는 기술 통제 우회로 귀하에게 청구하지 않습니다.
  • 이 연구는 보안 연구 수행에 방해될 수 있는 당사 이용 약관의 제한에서 면제되며, 당사는 이 정책에 따라 진행된 작업에 대해 이 제한을 제한적으로 면제합니다.
  • 이 연구는 합법적이고, 인터넷의 전반적인 보안에 도움이 되며, 신의성실의 원칙에 따라 진행됩니다.

귀하는 언제나처럼 모든 관련 법률을 준수해야 합니다. 귀하의 보안 연구가 이 정책과 일치하는지 여부에 대해 우려되거나 확신이 들지 않을 경우, 더 진행하기 전에 아래 지정된 커뮤니케이션 채널 중 하나를 통해 보고서를 제출하십시오.

범위
  • 모든 _bentley.com 하위 도메인
  • 모든 벤틀리시스템즈 데스크탑 제품(CONNECT Edition 이상만 해당)
  • 모든 벤틀리시스템즈 모바일 앱
  • 모든 벤틀리 클라우드 애플리케이션 및 서비스
  • 모든 벤틀리 오픈 소스 프로젝트(imodeljs.org 포함)
범위를 벗어남
적격 취약성
  • Brocken 액세스 제어(권한 에스컬레이션)
  • 비즈니스 로직 문제
  • 교차 출처 리소스 공유(CORS)
  • 교차 사이트 요청 위조(CSRF)
  • 교차 사이트 스크립팅(XSS)
  • 디렉터리 순회
  • DLL 하이재킹
  • 하이퍼링크 삽입
  • 식별 및 인증
  • 안전하지 않은 직접 개체 참조(IDOR)
  • 리디렉션 열기
  • 기타
  • 원격 코드 실행
  • 보안 구성 오류
  • 민감한 데이터 노출
  • 세션 구성 오류
  • SQL 인젝션
  • 하위 도메인 인수*
  • 워드 프레스 문제
제외 사항
  • 공개 후 15일 이내에 공개적으로 발표된 인터넷 소프트웨어의 버그
  • SPF 및 DKIM 문제를 포함한 스팸 또는 소셜 엔지니어링 기술
  • Self-XSS(당사는 XSS를 사용하여 어떻게 다른 사용자를 공격할 수 있는지에 대한 증거를 요구함)
  • X-Frame-Options 관련(클릭재킹)
  • 속도 제한 취약성(유효한 익스플로잇 PoC가 제공되지 않는 경우)
  • DoS 공격으로 이어지는 XMLRPC.php 파일 활성화
  • 중요하지 않은 쿠키에 대한 쿠키 플래그 누락
  • 취약성으로 직결되지 않는 보안 헤더 누락(귀하가 PoC를 제공하지 않는 경우)
  • 헤더 삽입(헤더 삽입이 어떻게 사용자 데이터 도용으로 이어질 수 있는지를 보여줄 수 없는 경우)
  • 버전 노출(작업 익스플로잇의 PoC를 제공하지 않는 경우).
  • 악용할 수 없지만 충돌, 스택 추적 및 유사한 정보 유출 또는 안정성 문제로 이어지는 문제
  • 서비스 거부
  • 오래된 브라우저, 플랫폼 또는 암호화가 필요한 모든 것(예: TLS BEAST, POODLE 등)
  • 자동 스캔의 모든 사항, 이미 공개된 모든 사항 또는 벤틀리시스템즈의 통제를 받지 않는 모든 사항(예: Google Analytics 등)
  • 실제적인 심각성이 결여된 이론적 문제

*타임스탬프와 하위 도메인이 포함된 2개 스크린샷 형식의 PoC가 있는 경우에만 보고하십시오. 이 스크린샷은 하위 도메인이 최소 1시간 동안 해제되어 있었음을 증명해야 합니다. 검색 도구는 하위 도메인 변경이 실행되는 동안의 찰나를 포착하는 경우가 많으며, 이는 취약성으로 보일 수 있지만 DNS 레코드는 곧 삭제됩니다. 스크린샷을 제출하면 허위 취약성에 대한 보고를 방지하여 귀하와 당사 팀 모두 시간을 절약할 수 있습니다.

부분 PoC(타임스탬프 증명 1개이거나 전혀 없음)가 있는 보고서는 1차 보고서로 처리되지 않습니다.

주의! PoC로 보고된 하위 도메인을 실제로 인수하는 것은 금지되어 있습니다.

당사 제품 또는 플랫폼 중 하나에서 보안 취약성을 발견했다고 생각되면 이 페이지의 양식을 작성해 주십시오.

양식에는 다음 정보가 포함되어 있어야 합니다.

  • URL, 전체 HTTP 요청/응답, 취약성 유형과 같은 정보가 포함된 취약성에 대한 자세한 설명
  • 문제를 재현하는 데 필요한 정보
  • 취약성을 보여주는 스크린샷 및/또는 비디오(해당하는 경우)
  • 연락처, 이름, 이메일, 전화번호, 위치. 이 정보가 없는 제출물은 고려하지 않습니다.
  • 중요 정보. 최초 제출은 양식을 통해서만 할 수 있습니다. 양식에 언급되지 않은 질문이 있는 경우 [email protected]으로 이메일을 보내 주십시오.
  • DoS는 엄격히 금지됩니다.
  • 모든 형태의 자격 증명 무차별 대입은 엄격히 금지됩니다.
  • 보고된 취약성을 수정하기 전에 공개하는 것은 금지됩니다.
  • 귀하는 당사의 성과를 파괴 또는 저하시키거나 당사 사용자 및 해당 데이터의 개인정보 보호 또는 무결성을 침해할 수 없습니다.
  • 취약성(일반 PoC 제외)을 악용하는 것은 엄격히 금지되며 관련 법률에 따라 기소됩니다.
  • 취약성으로 인해 의도하지 않은 데이터 액세스가 제공되는 경우 다음과 같이 해야 합니다.
    • 개념 증명을 효과적으로 입증하는 데 필요한 최소 수준으로 액세스하는 데이터의 양 제한
    • 테스트 중단
    • 테스트 중에 개인 식별 정보(PII), 개인 의료 정보(PHI), 신용 카드 데이터 또는 독점 정보와 같은
      사용자 데이터를 발견하면 즉시 보고서를 제출하십시오.
  • 벤틀리는 갈취 또는 기타 강압적인 범죄 행위(예: 발견된 취약성을 악용하지 않는 대가로 선지불 요구)에 대응하지 않습니다.

취약성이 해결되었다는 별도의 통보가 없는 한, 90일 동안 취약성에 대한 공개를 보류하십시오. 그렇게 하지 않으면 소송으로 이어질 수 있습니다.

문제 또는 유사한 문제를 보고한 첫 번째 연구자만 이 정책에 따라 고려합니다. 여기에는 서로 다른 환경(예: dev-, qa-, prod-)에서 발생한 동일한 문제에 대한 보고서가 포함됩니다.

제출이 접수되면

  • 보고된 취약성을 분석합니다.
  • 제출이 유효하고 이 정책의 요구 사항을 충족하는 것으로 확인되면 보상을 받을 수 있습니다.
  • 문제가 해결되면 알려드립니다.
취약성 예시 가격 범위(USD)**
Brocken 액세스 제어(권한 에스컬레이션) 200-400
비즈니스 로직 문제 100-300
교차 출처 리소스 공유(CORS) 100-200
교차 사이트 요청 위조(CSRF) 100-200
교차 사이트 스크립팅(XSS) 50-150
디렉터리 순회 100-200
DLL 하이재킹 100-200
하이퍼링크 삽입 50
식별 및 인증 200-400
안전하지 않은 직접 개체 참조(IDOR) 200-400
리디렉션 열기 50-150
기타 0-500
원격 코드 실행 500
보안 구성 오류 50-200
민감한 데이터 노출 50-500
세션 구성 오류 50-150
SQL 인젝션 200-400
**동일한 문제의 여러 인스턴스는 최대 3배 가격까지만 보상됩니다.

**제품의 다양한 환경(dev-, qa-, prod-)에서 발생한 문제에 대한 보고서는 하나로 계산합니다.

당사는 언제든지 어떤 이유로든 이 정책을 변경할 수 있는 권리를 보유하며 모든 보고에 대한 보상을 보장할 수 없습니다. 보상은 PayPal을 통해서만 합니다. 

중요. 유효한 PayPal 주소만 보내 주시기 바랍니다. 원래 주소 이외의 다른 주소는 결제용으로 고려하지 않습니다. 어떤 이유로든 거래가 실패하는 경우(예: PayPal이 거래를 거부함, 수취 은행이 지불을 수락할 수 없음, 최대 금액 한도에 도달함, 웹사이트 또는 기타 지침을 통해서만 결제 수락 등), 결제가 취소되고 다시 제출하지 않습니다.

벤틀리시스템즈는 사전 통지 없이 언제든지 책임 공개 프로그램 및 보상 시스템을 철회할 수 있는 권리를 보유합니다.

20% 할인 벤틀리 소프트웨어

금요일에 할인 종료

쿠폰 코드 "THANKS24" 사용

인프라 납품 및 성능 우수성 축하

2024 Year in Infrastructure & Going Digital Awards

인프라 분야에서 가장 권위 있는 시상식에 프로젝트를 출품하세요! 연장된 참가 마감일은 4월 29일입니다.