취약점 공개 정책(VDP)

저희는 보안 연구를 소중히 여기며 선의의 신고를 환영합니다. 현재 외부 침투 테스트는 받지 않습니다.

적용 범위

• skyalo.com, *.skyalo.com

• Skyalo 모바일 애플리케이션(최신 공개 버전)

적용 제외 범위: 제3자 서비스, DoS/트래픽 플러딩, 무차별 대입(Brute Force), 사회공학, 물리적 공격, 스팸/DMARC 신고, 영향 없는 버전 공개, 영향이 입증되지 않은 클릭재킹, 익스플로잇 없이 보안 헤더가 누락된 경우.

참여 규칙

• 선의로 행동하며 개인정보 침해 또는 서비스 품질 저하를 유발하지 마세요.

• 본인 계정/데이터만 사용하세요.

• 본인 소유가 아닌 데이터에 접근하거나 수정하지 마세요. 의도치 않게 비공개 데이터에 접근한 경우 즉시 중단하고 저희에게 알려주세요.

• 가용성 또는 안정성에 영향을 주는 자동화 스캐닝은 금지합니다.

신고 방법

이메일 [email protected] 로 아래 내용을 보내주세요:

• 영향을 받는 호스트/엔드포인트 및 환경

• 명확한 재현 절차

• 최소한의 PoC(HTTP 요청/응답, 스크린샷)

• 영향 평가 및 예상 심각도(CVSS v3.1 권장)

• 테스트 시간대 및 소스 IP

비밀정보는 포함하지 말아주세요 (자격 증명, 토큰, 원본 DB 덤프)을 이메일에 포함하지 마세요. 민감한 데이터는 가리거나 마스킹해 주세요. 암호화가 필요하면 연락 주시면 안전한 방법을 마련하겠습니다.

세이프 하버

본 정책을 준수하시면, 저희는 법적 조치를 취하지 않으며 문제를 신고하기 위한 제한된 목적에 한해 귀하의 연구를 승인된 것으로 간주합니다.

보상 & 인정

현재 없습니다 금전적 보상을 제공하지 않습니다. 확인된 중복이 아닌 이슈에 대해서는 공개 감사 표기(명예의 전당) 및 요청 시 감사 서한을 제공합니다. 중복 신고는 추가 인정 없이 종료될 수 있으며, 공로는 저희가 최초로 받은 유효한 신고에 부여됩니다.

일정 & SLA

• 접수 확인: 영업일 3일 이내

• 분류(트리아지) 상태 업데이트: 검토 후

• 조율된 공개: 수정이 제공될 때까지 공개적인 상세 내용은 보류해 주세요(최대 90일)

목표 조치 일정: 치명적: 7일; 높음: 30일; 중간: 90일; 낮음: 백로그/일정에 따라 처리.