보안에 대한 우리의 약속
MoneyLead는 보안을 매우 중요하게 생각합니다. 사용자를 보호하고 시스템을 개선하는 데 도움을 주시는 보안 연구원들의 노고에 감사드립니다. 이 페이지에서는 보안 취약점 공개 정책과 책임감 있는 보안 문제 신고 방법을 설명합니다.
연락처 정보
기본 보안 이메일:
대체 연락처:
PGP 키 지문:
8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
범위
범위 내:
- moneylead.gg 및 모든 하위 도메인
- 모든 공개 웹 애플리케이션
- 모든 API 엔드포인트
- 인증 및 권한 부여 메커니즘
- 데이터 저장 및 전송 보안
범위 밖:
- 사회 공학 공격
- 물리적 보안 테스트
- 서비스 거부(DoS/DDoS) 공격
- 타사 서비스(GitHub, CDN 제공업체 등)
- 스팸 또는 소셜 미디어 공격
신고 방법
보안 취약점을 보고할 때는 다음 사항을 포함하세요.
- 기술설명 - 취약점에 대한 명확한 설명
- 재현 단계 - 문제를 재현하기 위한 자세한 단계
- 영향 - 잠재적 보안 영향 및 영향을 받는 사용자
- 개념의 증거 - PoC 코드 또는 스크린샷
- 환경 - 브라우저, OS 및 기타 관련 세부 정보
- 귀하의 연락처 정보 - 후속 조치를 위해 어떻게 연락할 수 있나요?
Tip 민감한 정보의 경우 PGP 키를 사용하여 이메일을 암호화하세요.
응답 타임라인
1️⃣
초기 대응 - 보고서 제출 후 48시간 이내
2️⃣
상황 업데이트 - 분류 결과가 나온 후 7일 이내
3️⃣
해결 일정 - 심각도에 따라 다름(분류 후 전달)
4️⃣
공시 - 수정 사항이 배포된 후 조정된 공개
피 난항
이 정책에 따라 수행된 보안 연구는 다음과 같이 간주됩니다.
- ✅ 권한을 부여받은 해당 법률에 따라
- ✅ 면제 된 연구를 방해할 수 있는 서비스 약관 제한 사항
- ✅ 합법적 그리고 우리 시스템의 보안에 도움이 됩니다
우리는 법적 조치를 취하지 않을 것입니다 다음과 같은 연구자들을 상대로:
- 개인정보 침해 및 방해를 피하기 위해 성실히 노력하십시오.
- 본인이 소유한 계정이나 명시적으로 허가받은 계정과만 상호 작용하세요.
- 개념 증명을 넘어서는 취약점을 악용하지 마십시오.
- 취약점을 즉시 보고하세요
- 취약점 세부 정보를 해결할 때까지 기밀로 유지하십시오.
암호화
민감한 취약점에 대한 안전한 통신을 위해 PGP 공개 키를 사용하여 메시지를 암호화하세요.
# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import
# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt
# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt주요 세부 정보:
- 유형: RSA 4096비트
- 지문: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
- 만료 : 2027-10-14
보안.txt
우리는 RFC 9116 security.txt에 대한 표준입니다. 기계 판독 가능 보안 정책은 다음에서 확인하실 수 있습니다.
https://moneylead.gg/.well-known/security.txt
(PGP 서명 및 RFC 9116 준수)
감사의
저희는 보안 강화에 기여하는 보안 연구원들을 인정하는 데 힘쓰고 있습니다. 책임감 있게 취약점을 공개하는 연구원은 다음과 같습니다.
- (허가를 받아) 당사 웹사이트에 공개적으로 게재됨
- 보안 명예의 전당에 추가되었습니다
- 상품권 또는 기타 증정품 제공
참고: 현재 버그 현상금 프로그램을 제공하고 있지는 않지만, 책임감 있는 공개에 깊이 감사드리며 귀하의 기여에 감사를 표합니다.