Capgo에서는 우리 시스템의 보안을 최우선 과제로 여깁니다. 하지만 시스템 보안에 아무리 많은 노력을 기울여도 여전히 취약점이 존재할 수 있습니다.
취약점을 발견하셨다면, 최대한 빨리 대응 조치를 취할 수 있도록 저희에게 알려주시기 바랍니다. 고객과 시스템을 더 잘 보호할 수 있도록 도와주시면 감사하겠습니다.
범위를 벗어난 취약점:
민감한 작업이 없는 페이지에서의 클릭재킹.
인증되지 않은/로그아웃/로그인 CSRF.
중간자 공격(MITM) 또는 사용자 기기에 대한 물리적 접근이 필요한 공격.
사회공학적 기법이 필요한 공격.
서비스 중단(DoS)을 초래할 수 있는 모든 활동.
HTML/CSS를 수정할 수 없거나 공격 벡터를 보여주지 않고 콘텐츠 스푸핑 및 텍스트 삽입 문제.
이메일 스푸핑
DNSSEC, CAA, CSP 헤더 누락
비민감한 쿠키에 보안 또는 HTTP 전용 플래그가 없음
데드링크
사용자 열거
테스트 가이드라인:
다른 고객의 프로젝트에 자동화된 스캐너를 실행하지 마세요. 자동화된 스캐너를 실행하면 사용자에게 비용이 발생할 수 있습니다. 공격적으로 구성된 스캐너는 의도치 않게 서비스를 중단시키거나, 취약점을 악용하거나, 시스템 불안정성 또는 침해를 초래할 수 있으며 상위 제공업체의 서비스 약관을 위반할 수 있습니다. 우리의 보안 시스템은 적대적인 정찰과 화이트햇 연구를 구분할 수 없습니다. 자동화된 스캐너를 실행하고 싶다면 security@capgo.app로 알려주시고 본인의 Capgo 프로젝트에서만 실행하세요. 다른 고객의 프로젝트를 공격하지 마세요.
취약점이나 발견한 문제를 악용하지 마세요. 예를 들어, 취약점을 입증하는 데 필요한 것 이상의 데이터를 다운로드하거나 다른 사람의 데이터를 삭제하거나 수정하는 것과 같은 행위를 하지 마세요.