책임 있는 공개 정책

발효일: 2025년 6월 18일 

최종 업데이트: 2025년 6월 18일 

~에 Addverb Technologies Private Limited(자회사 포함) Addverb ”), 우리는 보안을 중요하게 생각합니다. 우리는 독립적인 보안 연구원들이 최고 수준의 사이버 보안을 유지하는 데 중요한 역할을 한다는 것을 잘 알고 있습니다. 이 책임 정보 공개 정책("정책")은 보안 연구원들이 잠재적 보안 취약점을 보고할 수 있는 절차를 설명합니다. Addverb 디지털 자산을 합법적이고 책임감 있고 윤리적인 방식으로 관리합니다. 

이 정책을 준수함으로써 보안 연구원은 본 정책에 따라 엄격히 규정된 조건을 준수하는 한 법적 조치로부터 보호를 받는 동시에 시스템의 전반적인 안전성과 복원력을 높이는 데 기여할 수 있습니다. 

정책 범위 

이 정책은 다음에 적용됩니다. addverb .com 및 해당 하위 도메인은 다음에서 운영 또는 관리합니다. Addverb 공개적으로 공개된 도메인에 명시적으로 포함되어 있습니다. 

본 정책은 다음을 승인하지 않습니다. 

1. 의도된 범위를 넘어서는 시스템에 대한 모든 접근. 

2. 비공개 또는 타사 자산에 대한 테스트. 

3. 해당 법률 위반. 

이 정책의 목적을 위해 "보안 연구원"이란 선의로 보안 연구원과 상호 작용하는 개인 또는 단체를 의미합니다. Addverb 본 정책에 따라 보안 취약점을 보고하는 목적으로만 의 시스템, 서비스 또는 제품을 사용하는 행위. 여기에는 윤리적 해커, 독립 연구원, 버그 바운티 헌터 및 이러한 보고서를 제출하는 기타 모든 당사자가 포함됩니다. 

책임 있는 공개 프로세스 

모든 보안 연구원에게 다음을 요청합니다. 

1. 선의로, 법의 범위 내에서 행동하세요. 

2. 피해, 방해 또는 손실을 초래할 수 있는 모든 행동을 피하십시오. Addverb 또는 고객. 

3. 문제를 재현하는 단계, 잠재적 영향, 권장되는 수정 사항을 포함한 자세한 보고서를 제공하세요. 

4. 취약점을 대중이나 제3자에게 공개하지 마십시오. Addverb 사전에 명시적인 서면 허가를 제공합니다. 

보고 

취약점을 보고하려면 addverb 으로 이메일을 보내주세요. 

보고서에는 다음 내용이 포함되어야 합니다. 

1. 취약점에 대한 명확한 설명. 

2. 발견 날짜와 시간. 

3. 가정된 영향 

4. 영향을 받는 서비스 또는 URL입니다. 

5. 문제를 재현하기 위한 단계별 지침입니다. 

6. 관련 스크린샷, 로그 또는 개념 증명 코드가 있으면 알려주세요. 

7. 권장 수정 사항 

Addverb 7개 영업일 이내에 접수 사실을 확인하고, 기술적으로 합리적인 기간 내에 유효한 문제를 평가하고 해결하려고 노력합니다. Addverb 저품질 보고서를 대량으로 제출하는 당사자의 제출물을 무시하기로 선택할 수 있습니다. 

제외 사항 

• 보안에 영향을 미치지 않는 취약점은 이 프로그램의 범위에서 제외됩니다. 

• 검증 가능한 스푸핑 증거가 없는 SPF/DMARC/DKIM 레코드 관련 취약점  

• 보안으로 표시되지 않고 HTTP 전용인 비세션 쿠키, SSL/TLS 구성, 보안 헤더 누락 등과 같은 모범 사례 문제 

• 추가적인 개념 증명 없이 자동화 도구 및 스캐너에서 보고된 취약점 

• 서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격 

• 스팸, 무차별 대입 공격 또는 개인 정보와 관련된 테스트. 

• 피해자의 장치에 물리적으로 접근해야 하는 악용 사례 

• 호스트 헤더 주입 

• 작동하는 개념 증명이 없는 이전에 알려진 취약한 라이브러리 

• 모든 종류의 스푸핑 공격 또는 피싱으로 이어지는 모든 공격(예: 이메일 스푸핑, 가짜 로그인 페이지로 로그인 자격 증명 캡처) 

• 사용자와 사용자 모두에 대한 사회 공학 공격과 같이 극히 가능성이 낮은 사용자 상호 작용이 필요한 버그 Addverb 특히 직원들에게. 

• 영향을 미치지 않거나 공개되어야 하는 제3자 API 키 공개. 특히, 노출된 Google Map API 키와 Android XML 파일의 키가 여기에 해당합니다.  

• OPTIONS / TRACE HTTP 메서드 활성화됨 

• 알려진 공개 파일 또는 디렉토리 공개(예: robots.txt, CSS/이미지 등) 

• 애플리케이션 또는 웹 브라우저의 '자동 완성' 또는 '비밀번호 저장' 기능이 있음 

• 피해자의 컴퓨터에 웹 브라우저 애드온 등의 소프트웨어를 설치해야 하는 모든 종류의 취약점 

• 양식에 대한 무차별 대입(예: 뉴스레터/문의하기 페이지) 

• 콘텐츠 보안 정책에 모범 사례가 없습니다. 

• SSL, CAA 헤더가 없습니다. 

• 기능, UI, UX 버그와 철자 오류. 

위에 나열된 제외 사항을 위반할 경우, 안전항구 보호 자격이 박탈되고 법적 조치를 받을 수 있습니다. 

보상 없음 

취약점 보고와 관련하여 어떠한 금전적 보상도 제공되지 않습니다. 본 정책은 침투 테스트, 스캐닝 또는 해킹 시도를 장려하거나 승인하기 위한 것이 아닙니다. Addverb 정보 기술 인프라를 제공하는 것이 아니라 합법적인 보안 취약성 공개를 전달하고 수정할 수 있는 책임감 있고 안전한 프레임워크를 제공하는 것입니다. 

Addverb 각 제출물을 사례별로 평가할 권리가 있습니다. 당사는 단독 재량으로 Addverb 보안 연구원이 이 정책의 모든 조건을 준수한 경우에만 상호 합의에 따라 공개적 인정이나 감사장 제공과 같은 비금전적 감사의 표시를 제공할 수 있습니다. 

기억해야 할 점 

• 취약점의 존재를 증명하는 데 필요한 것 이상으로 취약점을 악용하지 마십시오. 

• 본인 소유가 아닌 데이터에 접근하거나 복사, 다운로드하거나 변조하지 마십시오. 

• 테스트 중에는 시스템이나 서비스의 가용성을 방해하지 마십시오. 

• 다른 사용자의 계정이나 자격 증명에 접근하려고 시도하지 마세요. 

• 모든 활동은 본 정책에 명시된 범위와 한도 내에서 이루어져야 합니다. 

보장 

이 정책에 따라 취약성 보고서를 제출함으로써 보안 연구원은 면책하고 방어하며 무해하게 보호하는 데 동의합니다. Addverb 보안 연구원의 행위, 행동 또는 부작위로 인해 발생하거나 이 정책의 조건을 위반하거나 해당 법률을 위반하거나 피해를 입힌 모든 청구, 손해, 책임, 손실, 비용 및 경비(변호사 비용 포함)에 대해 해당 계열사, 임원, 이사, 직원 및 대리인을 보호합니다. Addverb 또는 제3자. 

법적 고지 및 면책 조항 

Addverb 본 정책을 준수하지 않을 경우, 관련 법률 및 관련 국제법에 따라 형사 또는 민사 소송을 제기할 권리를 포함하여 모든 법적 권리를 보유합니다. 

이 정책은 액세스에 대한 어떠한 라이센스(명시적이든 묵시적이든)도 부여하지 않습니다. Addverb 시스템이나 보안 테스트를 수행합니다. Addverb 본 정책은 사전 통지 없이 언제든지 수정 또는 철회할 권리가 있습니다. 참여로 인해 계약 관계가 생성되지 않습니다. Addverb 보안 연구원. 

문의하기 

이 정책에 따른 모든 질문, 의견 또는 취약성 보고는 addverb 으로 보내주시기 바랍니다.