Skip to main content
Capgo 로고

__CAPGO_KEEP_0__

__CAPGO_KEEP_0__ github.com/Cap-go/capgo/security/advisories/new
__CAPGO_KEEP_0__ https://capgo.app/security.txt

Capgo에서 시스템 보안을 최우선으로 생각합니다. 그러나 시스템 보안에 얼마나 많은 노력을 기울여도 여전히 취약점이 존재할 수 있습니다.

__CAPGO_KEEP_0__에서 취약성을 발견하셨다면, 가능한 한 빨리 취약점을 해결할 수 있도록 알려주셔서 도와주십시오. 또한 우리의 고객과 시스템을 더 잘 보호할 수 있도록 도와주십시오.

__CAPGO_KEEP_0__에서 고려하지 않는 취약점:

  • __CAPGO_KEEP_0__에서 수행할 수 없는 클릭잭킹.
  • __CAPGO_KEEP_0__에서 로그아웃/로그인 CSRF.
  • __CAPGO_KEEP_0__에서 사용자의 장치에 대한 MITM 또는 물리적 접근이 필요한 공격.
  • __CAPGO_KEEP_0__에서 사회 공학 공격.
  • 서비스 중단 (DoS)으로 이어질 수 있는 모든 활동.
  • HTML/CSS를 수정할 수 없이는 공격 벡터를 표시하지 않고 콘텐츠 위장 및 텍스트 삽입 문제.
  • 이메일 위장
  • DNSSEC, CAA, CSP 헤더가 누락된 경우
  • 비민감한 쿠키에 대해 Secure 또는 HTTP only 플래그가 누락된 경우
  • 데드 링크
  • 사용자 열거
  • 웹후크 또는 웹사이트 미리보기에 대한 SSRF 또는 DNS 위장 보고. 이 기능은 서버리스 인프라에서 실행되므로私有Capgo 인프라에 접근할 수 없으므로 우리 환경에서 공격할 수 없습니다.

알려진 Supabase 인증 제한

일부 발견은 반복적으로 보고되고 Supabase 인증 동작과 관련이 있습니다. 이들은 Supabase 측 문제로만 처리되며 우리와 같은 설정으로 구성된 공유 Supabase 데모 프로젝트에서 재현할 수 있고 Supabase 구성 변경이 동작을 수정하지 않고 Capgo 보안 규칙을 변경하지 않는 경우에만 그러합니다. 동작을 수정하는 데 Capgo 소유 SQL, RPC, RLS 정책, 함수 또는 앱 로직 변경이 필요하면 이는 Capgo 문제이며 우리에게 보고해야 합니다.

  • 보고서에는 우리의 설정과 동작을 демон스트레이션하는 데 사용할 수 있는 재현 가능한 데모 Supabase 프로젝트와 단계가 포함되어야 합니다.
  • 보고서에는 동작을 수정하는 데 필요한 정확한 수정 경로가 포함되어야 합니다: 동작을 수정하는 데 필요한 Supabase 설정/구성 변경 또는 Capgo 소유 code/구성 항목이 변경되어야 하는 경우.
  • 계정/이메일 흐름은 Supabase 프로젝트 설정 (예를 들어 이메일 인증이 비활성화되어 있고 캡처 흐름이 사용되는 경우)에 대해 검증됩니다.
  • 비밀번호 및 이메일/비밀번호 업데이트 흐름은 현재 Supabase Auth 세션 및 재인증 설정에 따라 달라질 수 있습니다.
  • 데모 프로젝트가 Supabase 측에서 수정이 필요한 구체적인 문제를 증명하고 Capgo 정책 변경이 없을 경우 또는 Capgo 소유의 구체적인 결함을 보여주면, 우리는 이를 실행 가능한 것으로 검토합니다.

테스트 지침:

  • 다른 고객 프로젝트에서 자동화된 스캐너를 실행하지 마십시오. 자동화된 스캐너를 실행하면 사용자의 비용이 증가할 수 있습니다. 공격적으로 구성된 스캐너는 서비스를 방해할 수 있으며 취약점을 악용할 수 있으며 시스템 instablity 또는 침해를 유발할 수 있으며 upstream 제공자의 서비스 약관을 위반할 수 있습니다. 우리의 보안 시스템은 적대적 탐색을 백금색 연구로 구별할 수 없습니다. 자동화된 스캐너를 실행하고 싶다면, security@capgo.app로 연락하여 스캐너를 실행할 수 있는 자신의 Capgo 프로젝트에만 실행하십시오. 다른 고객의 프로젝트를 공격하지 마십시오.
  • 취약점이나 문제를 발견한 경우, 예를 들어 취약점을 증명하기 위해 더 많은 데이터를 다운로드하거나 다른 사람의 데이터를 삭제하거나 수정하지 마십시오.

보고 지침:

  • 발견한 내용을 GitHub 보안 고지서를 통해 제출하십시오. https://github.com/Cap-go/capgo/security/advisories/new
  • 문제를 재현할 수 있는 충분한 정보를 제공하십시오. 문제를 해결할 수 있도록 빠르게 해결할 수 있도록 하십시오.

공개 지침:

  • In order to protect our customers, do not reveal the problem to others until we have researched, addressed and informed our affected customers.
  • 만약 Capgo에 대한 연구 결과를 회의, 블로그 또는 다른 공개 포럼에서 공유하고 싶다면, 최소 30일 전에 발행 예정일 이전에 우리에게 검토 및 승인하기 위해 드라フト를 공유해야 합니다. 다음 사항은 포함되지 않아야 합니다.
    • Capgo 고객 프로젝트에 대한 데이터
    • Capgo 고객의 데이터
    • Capgo 직원, 계약자 또는 파트너에 대한 정보

우리가 약속하는 것:

  • 우리는 7일 이내에 보고서에 대한 평가와 해결 문제까지의 예상 날짜를 포함한 보고서에 대한 답변을 제공할 것입니다.
  • 위의 지침을 따랐다면, 우리는 보고서에 대한 법적 조치를 취하지 않을 것입니다.
  • 우리는 보고서를 엄격한 비밀로 처리하고, 개인 정보를 제 3자에게 넘기기 전에 사용자의 동의를 얻을 것입니다.
  • 우리는 문제 해결을 위한 진행 상황에 대해 사용자에게 정보를 제공할 것입니다.
  • 문제가 해결된 후에 문제에 대한 공공 정보에서, 문제를 발견한 사람으로 사용자의 이름을 공개할 것입니다 (사용자가 그렇지 않으면).

우리는 모든 문제를 가능한 한 빠르게 해결하고, 문제가 해결된 후에 최종적으로 문제에 대한 출판에 적극적으로 참여하고 싶습니다.