Security

Rewards

모든 취약점 제보는 내부 평가 기준에 따라 심사되며, 다음 원칙을 기반으로 보상이 결정됩니다.

• 동일한 취약점에 대해 최초로 제보한 연구자에게만 보상이 지급됩니다.
• 이미 보고되었거나 클래스101에서 인지하고 있는 취약점은 보상 대상에서 제외됩니다.
• 클래스101의 서비스 운영에 영향을 미칠 수 있는 테스트(DDoS 등)는 금지됩니다.
• 악의적인 목적이 아닌, 윤리적인 해커 윤리에 따라 취약점을 제보해야 합니다.
• 클래스101 보안팀이 취약점의 심각도를 평가한 후 최종 보상 금액을 결정합니다.

Critical

클래스101의 서비스나 사용자에게 큰 피해를 줄 수 있는 보안 취약점입니다.

• 클래스101 서버에서 임의로 코드나 명령을 실행할 수 있음
• 데이터베이스에서 직접 쿼리를 실행하여 데이터를 변경하거나 삭제할 수 있음
• 비밀번호나 2단계 인증 없이 로그인할 수 있음
• 다른 사용자의 개인정보(이메일, 결제 정보 등)에 접근할 수 있음
• 회사 내부 시스템이나 관리자 기능을 무단으로 사용할 수 있음

High

중요한 데이터를 몰래 보거나 수정할 수 있는 취약점입니다.

• XSS(사이트 간 스크립팅) 공격으로 보안 정책을 우회할 수 있음
• 특정 사용자가 원래 가지면 안 되는 권한을 획득할 수 있음
• 외부에서 접근하면 안 되는 클래스101 내부 데이터가 노출됨
• 다른 사용자의 콘텐츠(강의, 댓글 등)를 수정하거나 삭제할 수 있음
• 결제 과정에서 인증이 제대로 이루어지지 않아, 허가받지 않은 결제를 할 수 있음
• 사용자의 계정 설정을 무단으로 변경할 수 있음

Medium

공격자가 제한된 데이터에 접근하거나, 일부 기능을 의도하지 않은 방식으로 사용할 수 있는 취약점입니다.

• 비공개 콘텐츠가 노출됨
• XSS 공격이 가능하지만, 실행 가능한 액션이 제한적임
• CSRF(사이트 간 요청 위조) 공격을 통해 사용자가 원하지 않는 일부 기능(예: 구독 해지, 좋아요 등)을 실행할 수 있음
• 최소한의 사용자 상호작용으로 사용자가 모르게 코드를 실행할 수 있음
• 사용자가 다운로드할 강의 자료를 조작할 수 있음

Low

보안상 큰 영향을 주지 않지만, 예상과 다른 동작을 유발하는 취약점입니다.

• 사용자의 동의 없이 특정 기능(예: 베타 서비스)에 가입할 수 있음
• 중요한 정보가 포함되지 않은 디버그 또는 예외 화면을 강제로 표시할 수 있음
• 클래스101 웹사이트 또는 API에서 예외 처리가 부족하여 서비스 장애가 발생할 가능성이 있음

Rules

프로그램에 참여하기 전에 아래 내용을 반드시 숙지해 주세요.

알아두실 점

• 취약점 제보는 클래스101에서 운영하는 서비스 및 도메인 내에서만 가능합니다.
• 특정 유형의 취약점은 보상 대상에서 제외될 수 있습니다. (단순 UI 오류, 공개 정보 기반 이슈 등)
• 소셜 엔지니어링, 피싱, 직원이나 사용자 대상의 물리적 공격은 허용하지 않습니다.
• 법적으로 허용되지 않는 방식으로 데이터를 수집하거나 조작하는 행위는 금지됩니다.
• 보상금 지급과 관련된 세금 및 법적 책임은 신고자 본인에게 있습니다.
• 클래스101은 프로그램을 언제든 변경하거나 종료할 수 있습니다.
• 정책에 대해 더 궁금하신 점은 infra@101.inc로 문의해 주세요.

비밀 유지 의무

클래스101의 버그 바운티 프로그램에 참여하는 모든 연구자는 비밀 유지 의무 약관(NDA)을 준수해야 합니다. 간단하게 요약하면 아래와 같습니다.

• 회사가 제공하는 모든 자료 및 정보는 프로그램 목적 이외에 사용하거나 외부에 유출할 수 없습니다.
• 영업비밀, 재무·인사·거래·지식재산권 등 회사 정보 전반이 비밀 유지 대상이며, 무단 공개·유포가 금지됩니다.
• 프로그램 종료 시 회사가 제공한 자료와 정보를 반환 또는 폐기해야 합니다.
• 회사 명예·신용을 훼손하거나 기업가치에 해가 되는 어떠한 행위도 해서는 안 됩니다.

반드시 전문을 확인하고 숙지해 주시기 바랍니다.