Biztonsági rés jutalomprogram
Ahogy a fenyegetések egyre gyakoribbak és egyre kifinomultabbak, a Synology a biztonsági kutatókkal együttműködve tartja fenn és erősíti tovább a védelmet.
Hatókörbe tartozó termékekA jelen program csak a Synology termékeivel és webszolgáltatásaival kapcsolatos sebezhetőségi jelentéseket fogadja el. A program hatókörén kívül eső sebezhetőségi jelentések jellemzően nem jogosultak jutalomra; azonban a helyzettől függően egyes, a kritikus sebezhetőségek hatókörén kívül eső jelentések is elfogadhatók.

Operációs rendszerek

Akár

30 000 dollár jutalom

Ebbe beletartozik a Synology DiskStation Manager, a Synology Router Manager és a Synology BeeStation.

További információk

Szoftver és C2 Cloud-szolgáltatások

Akár

10 000 dollár jutalom

Ebbe beletartoznak a Synology által fejlesztett szoftvercsomagok, a kapcsolódó mobilalkalmazások és a C2 Cloud-szolgáltatások.

További információk

Webszolgáltatások

Akár

5000 dollár jutalom

Ebbe beletartozik a Synology összes főbb webszolgáltatása.

További információk
A jutalom részletei
A jutalomra való jogosultság feltételei
Kérjük, adjon meg minden olyan információt, amelyre szükségünk van a bejelentett problémák reprodukálásához. Az egyes jutalmak nagysága a bejelentett sebezhetőség súlyosságától és az érintett termékkategóriától függ.A pénzbeli jutalomra való jogosultsághoz a bejelentéseknek a következő feltételeknek kell megfelelniük:
  1. Ön az első kutató, aki jelentette az adott sebezhetőséget
  2. A bejelentett sebezhetőség ellenőrizhető, reprodukálható és érvényes biztonsági probléma
  3. Jelentése megfelel a jutalomprogram feltételeinek és előírásainak
Biztonsági hibák jelentéseHa úgy gondolja, hogy sebezhetőséget talált, kövesse az alábbi lépéseket:
1. lépés

Vegye fel velünk a kapcsolatot a jutalomprogram kapcsolatfelvételi űrlapjának segítségével.

2. lépés

Használja ezt a PGP-kulcsot adatainak titkosításához, amikor hibajelentéseket küld a Synology vállalatnak.

3. lépés

Mellékeljen egy megvalósíthatóságot igazoló részletes bizonyítékot (PoC), és győződjön meg arról, hogy a bejelentett problémák reprodukálhatók.

4. lépés

A leírás legyen tömör. Például egy rövid, megvalósíthatóságot igazoló hivatkozást nagyobbra értékelünk, mint egy, az SSRF-probléma következményeit bemutató videót.

Az Ön felelőssége és a mi felelősségünkAz Ön jelentéseA feldolgozási idő csökkentése érdekében egy jó sebezhetőségi jelentésnek a következőket kell tartalmazni:
  1. Világosan megírt, részletes leírás angol nyelven arról, hogy miként lehet reprodukálni a sebezhetőséget
  2. Annak bemutatása, hogy a sebezhetőség milyen hatással van a Synology termékekeire vagy webszolgáltatásaira, illetve annak leírása, hogy mely verziókat és platformokat érinti
  3. A bejelentett sebezhetőség által okozott lehetséges károk ismertetése
A mi válaszunk
A Synology biztonsági csapata 7 napon belül válaszol a bejelentésére, és a fenyegetés súlyosságától függően a lehető leghamarabb frissíti az állapotot és kijavítja a biztonsági rést.Ha a feltárt sebezhetőségi jelentésért pénzjutalom jár, elismerésünk kifejezéseképpen az Ön nevét feltüntetjük a hivatalos weboldalunkon elérhető, Synology Termékbiztonsági tanácsadója oldalon.Ez a folyamat legalább 90 napot vesz igénybe. Jutalma a folyamat befejezése után kerül átutalásra.
Megjegyzések:A Synology fenntartja a jogot, hogy bármikor, előzetes értesítés nélkül megváltoztassa vagy megszüntesse a jelen programot, beleértve annak szabályzatait is.
Operációs rendszerek
Jutalom

A jogosult jelentésekért akár 30 000 USD jutalom jár.*

A hatókörbe tartozó termékek

Csak a hivatalosan kiadott verziókkal kapcsolatos jelentéseket fogadjuk el.

DiskStation Manager (DSM)

  • DSM 7 (legújabb verzió)

Synology Router Manager (SRM)

  • SRM 1.3 (legújabb verzió)

A Synology Camera firmware-je

  • Firmware 1.1 (legújabb verzió)

Synology BeeStation

  • BeeStation OS 1.0 (legújabb verzió)
Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  6. A csak az elavult böngészőket érintő sebezhetőségek
  7. A jelszó-találgatásos támadások legtöbb típusa
  8. Reflektált XSS-támadások vagy Ön XSS-támadások
  9. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  10. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  11. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  12. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  13. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  14. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  15. Hiányzó biztonságjelzők a cookie-knál
  16. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.

*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.
**Az SRM_LAN biztonsági résekért járó maximális jutalom 5000 dollár.
***A kamerák firmware-jében található biztonsági résekért járó maximális jutalom 10 000 dollár.

Szoftver és C2 Cloud-szolgáltatások
Jutalom

A jogosult jelentésekért akár 10 000 USD jutalom jár.*

A hatókörbe tartozó termékek

Csak a hivatalosan kiadott verziókkal kapcsolatos jelentéseket fogadjuk el.

Csomagok

A Synology által fejlesztett szoftvercsomagok

Asztali kliensek

A Synology által fejlesztett Windows, macOS és Linux alkalmazások

Mobilalkalmazások

A Synology által Android és iOS rendszerre fejlesztett mobilalkalmazások

Synology­-fiók

  • *.account.synology.com domainek
  • *.identity.synology.com domainek

C2 szolgáltatások

*.c2.synology.com domainek

Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  6. A csak az elavult böngészőket érintő sebezhetőségek
  7. A jelszó-találgatásos támadások legtöbb típusa
  8. Reflektált XSS-támadások vagy Ön XSS-támadások
  9. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  10. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  11. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  12. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  13. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  14. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  15. Hiányzó biztonságjelzők a cookie-knál
  16. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.

*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.

Webszolgáltatások
Jutalom

A jogosult jelentésekért akár 5000 USD jutalom jár.*

A hatókörbe tartozó termékek

A következő domainek (beleértve az aldomaineket is) tartoznak a hatókörbe:

*.synology.com

A következő domainek (beleértve az aldomaineket is) nem tartoznak a hatókörbe:

openstack-ci-logs.synology.com, router.synology.com

A Synology fenntartja a jogot, hogy ezt a listát bármikor, értesítés nélkül módosítsa.

Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Könyvtárkeresztezés a https://*archive.synology.com címen
  6. Tükrözött fájl letöltése (RFD)
  7. Banner grabbing problémák vagy szoftververzió közzététele
  8. 0 napos sebezhetőség 90 napon belül közzétéve
  9. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  10. A csak az elavult böngészőket érintő sebezhetőségek
  11. A jelszó-találgatásos támadások legtöbb típusa
  12. Reflektált XSS-támadások vagy Ön XSS-támadások
  13. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  14. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  15. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  16. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  17. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  18. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  19. Hiányzó biztonságjelzők a cookie-knál
  20. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.

*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.

A jutalom részletei
Az oldal segítségével a kutatók megismerhetik az adott típusú sebezhetőségek feltárásáért járó lehetséges maximális jutalmakat, illetve azokat a sebezhetőségi típusokat, amelyeket a Synology a leginkább értékel. Nagyra értékeljük hozzájárulásait, és elkötelezettek vagyunk a fontos biztonsági kutatások méltányos jutalmazása iránt.A táblázatban szereplő jutalmak az egyes kategóriákban adható maximumot mutatják, de nem minden jogosult bejelentés kapja meg garantáltan a feltüntetett összeget.*
Kritikus
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
Zero-click pre-auth RCE30 000 dollár10 000 dollár5000 dollár
Zero-click pre-auth arbitrary file r/w9000 dollár4600 dollár2400 dollár
Fontos
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
1-click pre-auth RCE8000 dollár4000 dollár2000 dollár
Zero-click normal-user-auth RCE7500 dollár3900 dollár1900 dollár
Zero-click normal-user-auth arbitrary file r/w6500 dollár3400 dollár1700 dollár
Zero-click pre-auth RCE (AC:H)6500 dollár3400 dollár1700 dollár
1-click pre-auth RCE (AC:H)5000 dollár2500 dollár1325 dollár
pre-auth SQL injection3800 dollár1950 dollár1025 dollár
1-click normal-user-auth RCE (AC:H)2600 dollár1350 dollár725 dollár
pre-auth stored XSS2600 dollár1350 dollár725 dollár
Közepes
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
normal-user-auth stored XSS1350 dollár733 dollár417 dollár
normal-user-auth SQL injection1200 dollár607 dollár353 dollár
admin-auth vulnerabilities100 dollár100 dollár100 dollár

1. 2024. október 1-től az admin-hitelesítési sebezhetőségekért járó jutalmak 100 USD-re lesznek beállítva.

Megjegyzések:

  • Felhívjuk figyelmét, hogy bár a jutalmakra vonatkozó iránymutatások adottak, minden jelentést külön kezelünk és alaposan kiértékelünk. A pontozás során különböző tényezőket veszünk figyelembe, beleértve, de nem kizárólagosan a jutalmak mezőben részletezett hatókört is. A Synology fenntartja a jogot a jutalom összegének végső kiértékelésére.
  • Az alacsony súlyosságúnak minősített problémák vagy javaslatok esetében csak elismerést adunk.
Gyakori kérdésekHogyan jelentsem a sebezhetőséget?Kérjük, adja meg a megvalósíthatóságot igazoló részletes bizonyítékot (PoC), és győződjön meg arról, hogy a bejelentett problémák reprodukálhatók. A hibabejelentés beküldésekor használja ezt a Synology által kínált PGP-kulcstitkosítást, és ne fedje fel a vonatkozó információkat harmadik félnek.Ki felelős annak megállapításáért, hogy a hibajelentésem jogosult-e a jutalomra?A Synology vezető biztonsági elemzőiből álló Synology biztonsági csapat az összes hibajelentést áttekinti és kiértékeli.Mi a következménye, ha egy hiba a kijavítása előtt nyilvánosságra kerül?Törekszünk arra, hogy a hibajelentésekre azonnal válaszoljunk, és észszerű időn belül megtegyük a szükséges lépéseket a kijavításukhoz. Kérjük, értesítsen minket előre, mielőtt nyilvánosan közzétenné a hibainformációkat. Nem jár jutalom, ha a hibafeltárás során nem követik ezen irányelveket.Az elavult szoftverekben (mint például Apache vagy Nginx) talált sebezhetőségek jogosultak a jutalomra?Kérjük, azonosítsa a szoftver sebezhetőségét, és indokolja meg, miért gyanítja, hogy a hibák károsak a szoftverhasználatra. Azok a bejelentések, amelyekben ezek az információk nem szerepelnek, általában nem jogosultak jutalomra.Kérhetem, hogy a nevem ne szerepeljen a Synology Biztonsági tanácsadó oldalán?Igen. Kérheti, hogy ne szerepeljen a Biztonsági tanácsadó oldalunkon. Ha azonban jogosult a jutalomra, és el is kívánja azt fogadni, akkor szükségünk lesz kapcsolatfelvételi adatokra a fizetés feldolgozásához.A sebezhetőségek akkor is jogosultak jutalomra, ha sebezhetőségi brókereknek jelentették őket?A sebezhetőségek hibajavításon kívüli, privát célú, harmadik feleknek való felfedése ellentmond programunk szellemének. Ezért az ilyen jelentések nem jogosultak jutalomra.Ki jogosult a jutalomra, ha ugyanazt a hibát többen is bejelentik?A jutalmat az kapja meg, aki elsőként olyan sebezhetőséget fedez fel, amely korábban ismeretlen volt számunkra.
ElismerésSzeretnénk megemelni kalapunk a biztonsági kutatók és a minket segítő szervezetek előtt.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Georg Delp (https://www.linkedin.com/in/georgdelp/)
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)