보안 취약성 신고
TikTok의 사명은 창의성을 고취하고 기쁨을 선사하는 것입니다. TikTok 플랫폼의 보안 및 상태는 이 사명과 밀접하게 관련됩니다. TikTok에서 문제가 발생할 경우 저희 전담 보안 팀은 이러한 문제에 대응하고 해결할 준비가 되어 있습니다. 숙련된 보안 전문가 팀과 업계 최고의 보안 기술 외에도 TikTok은 플랫폼의 기술적 보안 버그에 대한 외부 신고에 의지하며 이러한 신고를 중요하게 다룹니다. 이를 염두에 두고 저희는 외부 파트너가 취약성을 적절히 신고하도록 안내하는 일련의 정책을 규정했습니다. 저희는 사용자의 의견을 환영하며 TikTok을 보호하기 위한 여러분의 노력에 감사드립니다.
취약성 신고 정책
• 프로필에 대한 질문, 우려 사항 또는 문제는 여기를 클릭하세요.
• TikTok의 개인정보 보호정책 또는 사기에 대한 질문, 우려 사항 또는 문제는 여기를 클릭하세요.
• 누군가가 회원님의 브랜드를 오용하고 있다면 로 문의하세요.
TikTok 앱이나 웹 사이트에서 보안 버그 또는 취약성을 발견했다고 생각되면 여기서 신고 내용을 제출하세요. 보안 버그 포상금과 관련된 신뢰할 수 있는 파트너인 HackerOne의 웹 사이트로 리디렉션됩니다.그곳에서 제출 지침에 대한 자세한 정보를 확인하고 신고를 제출할 수 있습니다.
TikTok은 협조 공개 정책을 따릅니다. 자세한 내용은 [공개 및 기밀 유지 정책(Disclosure and Confidentiality Policy)(TikTok HackerOne 정책(TikTok HackerOne Policy) 에 정의)을 참조하세요.
가이드라인
자세한 내용은 [프로그램 규칙 및 가이드라인(Program Rules and Guidelines) 섹션(TikTok HackerOne 정책(TikTok HackerOne Policy)에 있음)을 참조하세요.
자주 묻는 질문(FAQ)
어떤 유형의 문제가 보안 취약성으로 간주되며 신고해야 하나요?
TikTok에 영향을 미치는 기술적 보안 버그와 관련된 문제는 여기에 신고해야 합니다. 문제는 다음을 포함하되 이에 국한되지 않습니다.
• XSS, CSRF, SSRF, SQL 삽입, ROP, JOP 등
• 유출되거나 하드 코딩된 민감한 자격 증명
• 악용 가능하고 위험한 API
• 제어 흐름 하이재킹 공격
• 사용자 데이터 유출
• OWASP 웹 앱 관련 상위 10개에 나열된 문제
• OWASP 모바일 앱 관련 상위 10개에 나열된 문제
• 인증 또는 권한 부여 취약성
• 백엔드 소스 코드, 데이터베이스 등과 같은 내부 TikTok 리소스에 대한 액세스
• 오픈 리디렉션 - 추가 보안 영향을 입증할 수 있는 경우
• 자동화 방지 보안 우회 또는 인증된 엔드포인트에 대한 비율 제한 부족
• 권한 상승을 위해 TikTok 애플리케이션을 사용하여 모바일 운영 체제 공격
• TikTok 서버/클라이언트에서 임의 코드 실행
확인된 취약성에 대한 보상, 포상금 또는 CVE가 있나요?
포상금에 대한 자세한 내용은 [보상 및 보상 자격 없음(Rewards & Not Eligible for Reward) 섹션(TikTok HackerOne 정책(TikTok HackerOne Policy)에 있음)을 참조하세요.
발견 사항을 게시하려면 얼마나 기다려야 하나요?
보안 연구자는 [공개 및 기밀 유지 정책(Disclosure and Confidentiality Policy)(TikTok HackerOne 정책(TikTok HackerOne Policy)에 정의)을 따를 것을 요청드립니다.
어떤 웹 도메인이 TikTok의 범위 내에 있나요?
자세한 내용은 [범위 내(In Scope) 섹션(TikTok HackerOne 정책(TikTok HackerOne Policy)에 있음)을 참조하세요.
신고한 보안 문제가 조사 중이란 것에 대해 어떻게 알림을 받을 수 있나요?
신고된 보안 문제는 중요도 및 비즈니스 우선순위에 따라 평가되며 이에 따라 당사의 조사 분류 파이프라인을 거칩니다. 최선을 다해 사건의 진행 상황을 알려드리겠습니다.