Bug Hunting
개인의 정보 보안 학습을 위해 작성되었습니다. 본 게시물을 불법적으로 활용하실 경우 혹은 본 게시물로 인해 발생하는 모든 문제에 대한 책임은 당사자에게 있으며, 작성자는 어떠한 법적 책임도 지지 않음을 밝힙니다. 해당 문서를 열람하는 것은 이에 대해 동의하는 것으로 간주합니다.
버그 헌팅은 모의해킹에서 사용하는 기술과 동일하지만, 대중과의 계약을 통해 SW에 영향을 줄 수 있는 취약점을 발견하면 그에 대한 보상을 노리는 행위를 의미한다.
하지만 실제 서비스 중인 웹사이트나 시스템(서버, 네트워크, 보안장비 등)에 특정 데이터를 전송하여 영향을 줄 우려가 있는 서비스 취약점은 평가 및 포상 대상에서 제외됨은 물론, 법에 의해 처벌 받을 수 있다는 것을 명심하자.
(정보통신망 이용촉진 및 정보보호에 관한 법률 제 71조 제 10호 및 제 40조 제 3항)
그렇다면 모의 해킹과 버그헌팅의 차이는 무엇일까? 모의 해킹은 취약점을 찾지 못해도 비용을 준다는 점이다. 침투테스트의 결과가 '안전하다'라는 보고서의 대가라고 생각하면 될 것이다.
버그바운티는 해커들이 제보한 취약점에 대한 보상을 해주는 제도다.
버그바운티는 구글, 페이스북 등등 많은 회사에서 운영하고 있다. 당연하지만 자사의 프로그램에 대해서만 운영하고 있으며 각 기업별로 운영 룰은 조금씩 다르다.
그렇다면 우리는 어디서 버그 헌팅 사이트를 찾을 수 있을까?
https://www.hackerone.com/internet-bug-bounty
위 사이트에 들어가 보면 버그 헌팅 사이트를 쉽게 찾을 수 있다.