Merge pull request #5 from ridi/exclude-csrf-from-wanted-vulnerability

CSRF 를 유효한 취약점에서 제외

bounty.md

@@ -29,7 +29,8 @@
 - 제품적인 결함으로 인한 개인정보 유출
 - 원격 코드 실행 (RCE)
 - 클라이언트 측 코드 실행 (XSS)
-- 기타 보안 결함 (CSRF, SQL Injection, etc.)
+- 기타 보안 결함 (SQL Injection, CSRF, etc.)
+  - CSRF는 계정 탈취, 개인정보 유출 등으로 이어지는 경우만 유효로 인정
 
 
 ### 유효하지 않은 취약점
@@ -50,6 +51,7 @@
 - 소프트웨어의 버전 정보 노출
 - 사용자 장치에 대한 물리적 액세스 또는 MITM 공격을 요구하는 경우
 - 서비스 거부 공격(DoS)
+- `SameSite` 쿠키정책으로 보호되는 CSRF
 - 세션 탈취나 개인정보 유출로 이어지지 않는 Open Redirect
 
 
@@ -62,8 +64,9 @@
   - 높음(High): 100~150만원
   - 치명적인(Critical): 200만원 이상
 - 만약 같은 취약점에 대해 여러 개의 보고가 접수된다면, 최초로 명확한 보고를 제공해주신 분께 포상이 지급됩니다.
-- 포상금은 제보된 취약점이 패치된 이후 이행점검을 마쳐주시면 지급됩니다.
-- 포상금은 매월 마지막 영업일이 포함된 주에 일괄 정산 뒤 지급됩니다.
+- 포상금은 매월 마지막 영업일이 포함된 주에 일괄 정산됩니다.
+  - 포상 지급이 결정된 제보는 정산 완료 후 일괄적으로 안내메일을 보내드립니다.
+  - 포상금은 제보된 취약점이 패치된 후 이행점검을 마쳐주시면 지급됩니다.
 
 
 ### 제보