← 홈으로 돌아가기

컴플라이언스

VulnBank는 그 어떤 것도 자랑스럽게 준수하지 않습니다.

저희의 인증 현황

저희는 엄격한 내부 감사를 수행했고 (구글에 "내 앱이 안전한가요"를 검색한 뒤 "I'm Feeling Lucky" 버튼을 눌렀습니다) 다음과 같은 컴플라이언스 상태를 보고드리게 되어 기쁩니다:

미준수

OWASP Top 10

저희는 OWASP Top 10을 그냥 떨어뜨리는 데 그치지 않습니다. 10가지를 모두 기능으로 구현했습니다. SQL 인젝션, XSS, SSRF, IDOR, 깨진 인증, 보안 설정 오류... 풀 컬렉션이 있습니다.

미준수

PCI DSS

Payment Card Industry 표준은 민감한 데이터의 암호화 저장을 요구합니다. 저희는 비밀번호를 평문으로 저장하고 JWT 토큰을 localStorage에서 제공합니다. PCI DSS 감사관 분들은 마음껏 우셔도 됩니다.

미준수

GDPR

"잊혀질 권리"는 기술적으로 저희 관리자 패널의 보안되지 않은 삭제 엔드포인트를 통해 달성 가능합니다. 누구든 당신을 잊게 할 수 있습니다. 당신이 그걸 원했는지는 또 다른 문제지만요.

미준수

SOC 2 Type II

저희 접근 통제는 만료되지 않는 JWT, 추측 가능한 URL 뒤에 숨겨진 관리자 패널, 그리고 서버 사이드 요청 위조(SSRF) 도구 역할도 겸하는 프로필 사진 업로드로 구성됩니다.

취약점 공개

저희는 가장 문자 그대로의 의미로 풀 디스클로저(full-disclosure) 정책을 운영합니다: 모든 취약점은 <!-- Vulnerability: No CSRF protection --> 같은 친절한 HTML 주석을 통해 소스 코드에 완전히 공개되어 있습니다. 침투 테스터의 삶을 더 편하게 만드는 것을 신조로 삼고 있습니다.

인시던트 대응

보안 침해가 발생할 경우, 저희의 인시던트 대응 계획은 이 애플리케이션이 "Vulnerable Bank"이며 이것이 처음부터 계획이었음을 모두에게 상기시키는 것입니다. 평균 인지 시간: 즉시. 평균 조치 시간: 절대 없음.