Vaulted

버그 바운티 & 책임 있는 취약점 공개

검토를 환영합니다. 실제 보안 문제를 발견하면 공개 크레딧과 영구 명예의 전당 등록을 받을 수 있습니다.

정책 최종 업데이트 2026-04-27 · Maxim Novak

솔직한 제안

Vaulted는 독립적으로 개발된 무료 도구입니다. 아직 현금 바운티를 지급하지 않습니다 — 그렇다고 주장하는 것은 오해를 불러일으킬 것입니다. 대신, 유효한 신고에는 신속한 확인, 이 페이지에의 공개 크레딧, 해당하는 경우 CVE 할당, 그리고 진심 어린 감사를 드립니다. 유료 바운티를 찾고 있다면 여기는 맞지 않습니다. 엔드투엔드 암호화 도구가 주장한 대로 동작하는지 관심이 있다면, 깊이 파고들어 주세요.

유효한 신고에 대한 보상

  • 48시간 이내 확인. 실제 사람이 직접 답변합니다.
  • 영구 명예의 전당 등록 이 페이지에 이름(또는 핸들), 날짜, 수정 및 공개 후 문제에 대한 간략한 설명이 기재됩니다.
  • CVE 조율 발견 사항이 이를 요구하는 경우 — 예약 및 공개 일정을 함께 조율합니다.
  • 조율된 공개 원하는 일정에 맞춰 진행합니다. 먼저 수정한 후 출처를 밝히며 세부 내용을 공개합니다.
  • 진심 어린 감사 메시지 실제 사람에게서 받습니다. 나중에 현금 바운티가 가능해지면 이전 연구자에 대한 소급 지급도 공정하게 검토할 것입니다.

범위 내

암호화 구현

클라이언트 측 AES-256-GCM, 키 생성, IV 재사용, URL 프래그먼트 처리, 또는 패스프레이즈 래핑의 모든 결함. 암호화가 곧 제품입니다 — 여기서 발견된 버그는 최우선 신고 대상입니다.

인증 / 인가 우회

올바른 ID와 키 없이 시크릿을 읽거나 수정하는 행위. 조회 제한, 만료, 또는 패스프레이즈 프롬프트 우회.

데이터 노출

예상치 못한 위치에서 서버 측 플레인텍스트, 키, IV, 사이퍼텍스트, 조회 횟수, IP 주소 또는 관찰되어서는 안 되는 기타 데이터의 유출.

서버 측 취약점

API 라우트 핸들러 버그, 속도 제한 우회, 인젝션, 역직렬화 문제, SSRF, 서버 측 요청 스머글링.

인프라 잘못된 설정

vaulted.fyi의 프로덕션 배포에서 데이터를 노출하거나 보안 모델을 훼손하는 모든 것.

공급망 무결성

손상되거나 변조된 빌드 아티팩트, 중요한 위치에서 누락된 SRI, 게시된 npm 패키지에 대한 dependency-confusion 공격.

범위 외

볼류메트릭 공격 또는 서비스 거부

사이트를 다운시키려 하지 마세요. 속도 제한 우회 버그는 범위 내이지만, 플러딩은 해당되지 않습니다.

스팸 / 시크릿 생성 남용

많은 수의 시크릿을 생성하는 것은 취약점이 아닙니다.

소셜 엔지니어링

직원, 기여자 또는 사용자를 대상으로 하는 행위. 보안 수신함에 대한 피싱은 해당되지 않습니다.

서드파티 서비스의 취약점

Vercel, Upstash, Cloudflare 등의 문제는 해당 공급업체에 신고해 주세요. 문제가 Vaulted에 직접 영향을 미치는 경우 기꺼이 조율하겠습니다.

침해된 엔드포인트가 필요한 문제

사용자 기기에서 침해된 브라우저, 악성 확장 프로그램 또는 키로거는 당사의 위협 모델에서 인정됩니다 — 위협 모델을 참조하세요. 이는 Vaulted의 취약점이 아닙니다.

영향 없는 모범 사례 발견

"헤더 X가 없음" 또는 "쿠키 속성 Y"처럼 보안 영향이 입증되지 않은 경우. 알려주시면 수정할 수도 있지만, 명예의 전당 자격은 없습니다.

참여 규칙

  • 직접 생성한 시크릿으로만 테스트하세요. 다른 사용자의 데이터에 접근하거나 시도하지 마세요.
  • 취약점의 첫 징후에서 멈추고 신고하세요. 피벗, 유출, 지속 또는 권한 상승을 하지 마세요.
  • 합리적인 수정 기회(보통 90일)가 주어질 때까지 세부 내용을 공개하지 마세요. 더 빠르게 진행하는 것을 목표로 합니다.
  • 자동화된 스캐닝은 합리적인 속도 제한 내에서 허용됩니다. 도구가 상당한 트래픽을 생성하면 속도를 줄여 주세요.
  • 프로덕션 환경 테스트는 본인 책임입니다. 이 규칙을 따르는 선의의 연구에 대해서는 법적 조치를 취하지 않겠습니다.

프로세스 & 일정

  1. 신고[email protected]로 보내 주세요. 암호화된 이메일도 환영합니다.
  2. 48시간 이내 확인 하고 추적 참조 번호를 부여합니다.
  3. 5일 이내 심사 — 발견 사항이 범위 내이고 재현 가능한지 확인합니다.
  4. 수정 & 배포 심각도에 비례한 일정으로 진행합니다(치명적인 경우 수 시간, 높은 경우 수 일, 낮은 경우 수 주).
  5. 조율된 공개 출처를 밝히고 명예의 전당에 등록합니다.

명예의 전당

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

신고할 준비가 됐거나 질문이 있으신가요?

[email protected]

참고: 위협 모델 · 직접 Vaulted 검증하기 · security.txt