Security Bug Bounty Program

제품 범위

이 프로그램은 Synology의 제품 및 웹 서비스와 관련된 취약점 보고만을 받아들입니다. 프로그램의 범위를 벗어난 취약점 보고는 일반적으로 보상 대상이 되지 않지만, 상황에 따라 중요한 취약점의 범위를 벗어난 보고가 받아들여질 수 있습니다.

운영 체제

최대 보상

30000

Synology DiskStation Manager, Synology Router Manager, 및 Synology BeeStation을 포함합니다.

자세한 정보

소프트웨어 및 C2 클라우드 서비스

최대 보상

10000

Synology에서 개발한 소프트웨어 패키지, 관련 모바일 앱, 및 C2 클라우드 서비스를 포함합니다.

자세한 정보

Web 서비스

최대 보상

5000

모든 주요 Synology 웹 서비스를 포함합니다.

자세한 정보

보상 세부사항

보상 자격 기준

보고된 문제를 재현할 수 있는 모든 정보를 제공하십시오. 각 보상의 크기는 보고된 취약점의 심각성과 영향을 받는 제품 범주에 따라 달라집니다.

보상을 받기 위한 요건은 다음과 같습니다:

이 취약점을 보고한 첫 번째 연구자입니다
보고된 취약점이 검증 가능하고, 재현 가능하며, 유효한 보안 문제로 확인됩니다
귀하의 보고서가 현상금 프로그램의 약관 및 규정을 준수합니다

보안 버그 보고

취약점을 발견한 것으로 생각되면 아래 단계를 따르십시오:

단계 1

바운티 프로그램 문의 양식 을 사용하여 당사에 문의하십시오.

단계 2

버그 보고서를 Synology에 전송할 때 이 PGP 키 를 사용하여 정보를 암호화합니다.

단계 3

취약점이 재현 가능하다는 것을 확인하고, 자세한 개념 증명(PoC)을 포함하십시오.

단계 4

설명을 간결하게 유지하십시오. 예를 들어, 간단한 개념 증명 링크는 SSRF 문제의 결과를 설명하는 비디오보다 더 높게 평가됩니다.

귀하와 우리의 책임

귀하의 보고서

좋은 취약점 보고서는 다음을 포함해야 합니다:

영어로 취약점을 재현하는 방법에 대한 명확하게 작성된 단계별 설명을 포함합니다
취약점이 Synology 제품 또는 웹 서비스에 어떻게 영향을 미치는지 보여주고, 영향을 받는 버전 및 플랫폼을 설명합니다
보고된 취약점으로 인해 발생할 수 있는 잠재적 피해를 설명합니다

우리의 응답

Synology 보안 팀은 귀하의 보고서에 대해 7일 이내에 응답하고 위협의 심각성에 따라 가능한 한 빨리 상태를 정기적으로 업데이트하고 취약점을 수정합니다.

사용자의 취약점 보고서가 금전적 보상에 해당되는 경우, 감사의 표시로 사용자의 이름이 Synology 공식 웹사이트의 Synology 제품 보안 주의보 페이지에 나열됩니다.

이 과정은 최소 90일이 소요됩니다. 과정이 완료되면 보상이 지급됩니다.

참고:Synology는 언제든지 사전 통지 없이 이 프로그램 및 정책을 변경하거나 취소할 권리를 보유합니다.

운영 체제

보상	자격 있는 보고서는 최대 US$30,000의 보상을 받을 수 있습니다.*
범위 내 제품	공식적으로 출시된 버전에 대한 보고서만 받습니다. DiskStation Manager (DSM) DSM 7(최신 버전) Synology 라우터 관리자(SRM) SRM 1.3(최신 버전) Synology 카메라 펌웨어 펌웨어 1.1(최신 버전) Synology BeeStation BeeStation OS 1.0 (최신 버전)
규정 및 제한	이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼치거나 해를 끼칠 수 있는 행동은 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다. 프로그램에 따라 취약점 보고서는 다음을 설명하거나 포함하는 경우 받아들여지지 않습니다: Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격 Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트 물리적 공격 또는 소셜 엔지니어링 Synology의 승인 전 버그 정보 공개 구식 서비스나 제품의 비중요 취약점 구식 웹 브라우저에만 영향을 미치는 취약점 대부분의 무차별 대입 공격 반사형 XSS 공격 또는 자가 XSS 공격 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서 기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음 구체적인 개념 증명(PoC)이 없는 이론적 취약점 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션 직접적인 악용으로 이어지지 않는 누락된 보안 헤더 쿠키의 누락된 보안 플래그 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.

보상

자격 있는 보고서는 최대 US$30,000의 보상을 받을 수 있습니다.*

범위 내 제품

공식적으로 출시된 버전에 대한 보고서만 받습니다.

DiskStation Manager (DSM)

DSM 7(최신 버전)

Synology 라우터 관리자(SRM)

SRM 1.3(최신 버전)

Synology 카메라 펌웨어

펌웨어 1.1(최신 버전)

Synology BeeStation

BeeStation OS 1.0 (최신 버전)

규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼치거나 해를 끼칠 수 있는 행동은 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다.

프로그램에 따라 취약점 보고서는 다음을 설명하거나 포함하는 경우 받아들여지지 않습니다:

Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트
물리적 공격 또는 소셜 엔지니어링
Synology의 승인 전 버그 정보 공개
구식 서비스나 제품의 비중요 취약점
구식 웹 브라우저에만 영향을 미치는 취약점
대부분의 무차별 대입 공격
반사형 XSS 공격 또는 자가 XSS 공격
피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음
구체적인 개념 증명(PoC)이 없는 이론적 취약점
단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션
직접적인 악용으로 이어지지 않는 누락된 보안 헤더
쿠키의 누락된 보안 플래그
사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.

*보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.
**SRM_LAN의 취약점에 대한 최대 보상은 $5,000입니다.
***카메라 펌웨어의 취약점에 대한 최대 보상은 $10,000입니다.

소프트웨어 및 C2 클라우드 서비스

보상	최대 US$10,000의 보상이 가능한 자격 있는 보고서.
범위 내 제품	공식적으로 출시된 버전에 대한 보고서만 허용됩니다. 패키지 Synology에서 개발한 소프트웨어 패키지 데스크톱 클라이언트 Synology에서 개발한 Windows, macOS, Linux 애플리케이션 모바일 앱 Synology에서 개발한 Android 및 iOS용 모바일 앱 Synology 계정 .account.synology.com 도메인 .identity.synology.com 도메인 C2 서비스 *.c2.synology.com 도메인
규정 및 제한	이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼칠 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다. 프로그램에 따라 취약점 보고서는 설명하거나 포함하는 경우에는 허용되지 않습니다: Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격 Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트 물리적 공격 또는 소셜 엔지니어링 Synology의 승인 전 버그 정보 공개 구식 서비스나 제품의 비중요 취약점 구식 웹 브라우저에만 영향을 미치는 취약점 대부분의 무차별 대입 공격 반사형 XSS 공격 또는 자가 XSS 공격 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서 기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음 구체적인 개념 증명(PoC)이 없는 이론적 취약점 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션 직접적인 악용으로 이어지지 않는 누락된 보안 헤더 쿠키의 누락된 보안 플래그 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.

보상

최대 US$10,000의 보상이 가능한 자격 있는 보고서.

범위 내 제품

공식적으로 출시된 버전에 대한 보고서만 허용됩니다.

패키지

Synology에서 개발한 소프트웨어 패키지

데스크톱 클라이언트

Synology에서 개발한 Windows, macOS, Linux 애플리케이션

모바일 앱

Synology에서 개발한 Android 및 iOS용 모바일 앱

Synology 계정

*.account.synology.com 도메인
*.identity.synology.com 도메인

C2 서비스

*.c2.synology.com 도메인

규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼칠 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다.

프로그램에 따라 취약점 보고서는 설명하거나 포함하는 경우에는 허용되지 않습니다:

Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트
물리적 공격 또는 소셜 엔지니어링
Synology의 승인 전 버그 정보 공개
구식 서비스나 제품의 비중요 취약점
구식 웹 브라우저에만 영향을 미치는 취약점
대부분의 무차별 대입 공격
반사형 XSS 공격 또는 자가 XSS 공격
피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음
구체적인 개념 증명(PoC)이 없는 이론적 취약점
단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션
직접적인 악용으로 이어지지 않는 누락된 보안 헤더
쿠키의 누락된 보안 플래그
사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.

*자세한 내용은 보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.

Web 서비스

보상	최대 US$5,000의 보상이 가능한 자격 있는 보고서.
범위 내 제품	다음 도메인(서브 도메인 포함)이 범위 내에 있습니다: *.synology.com 다음 도메인(서브 도메인 포함)은 범위에 포함되지 않습니다: openstack-ci-logs.synology.com, router.synology.com Synology는 언제든지 이 목록을 수정할 권리를 보유합니다.
규정 및 제한	이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적인 피해를 줄 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 법률 또는 대만 법률을 위반해서는 안 됩니다. 취약점 보고서는 다음을 설명하거나 포함하는 경우 프로그램에서 허용되지 않습니다. Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격 Synology 또는 사용자의 서버나 데이터에 해를 끼치는 취약점 테스트 물리적 공격 또는 사회 공학 Synology의 승인 전 버그 정보 공개 https://*archive.synology.com에서의 디렉토리 트래버설 반사된 파일 다운로드 배너 그래빙 문제 또는 소프트웨어 버전 공개 90일 이내에 공개된 0-day 취약점 구식 서비스나 제품의 비중요 취약점 구식 웹 브라우저에만 영향을 미치는 취약점 대부분의 무차별 대입 공격 유형 반사 XSS 공격 또는 자체 XSS 공격 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서 기본 포트가 취약하다는 표시이지만 PoC를 제공하지 않는 경우 구체적인 개념 증명(PoC)이 없는 이론적 취약점 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 되지 않는 오픈 리디렉션 직접적인 악용으로 이어지지 않는 누락된 보안 헤더 쿠키의 누락된 보안 플래그 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 비율 제한이 없음을 입증할 수 있을 때만 범위에 포함됩니다.

보상

최대 US$5,000의 보상이 가능한 자격 있는 보고서.

범위 내 제품

다음 도메인(서브 도메인 포함)이 범위 내에 있습니다:

*.synology.com

다음 도메인(서브 도메인 포함)은 범위에 포함되지 않습니다:

openstack-ci-logs.synology.com, router.synology.com

Synology는 언제든지 이 목록을 수정할 권리를 보유합니다.

규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적인 피해를 줄 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 법률 또는 대만 법률을 위반해서는 안 됩니다.

취약점 보고서는 다음을 설명하거나 포함하는 경우 프로그램에서 허용되지 않습니다.

Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
Synology 또는 사용자의 서버나 데이터에 해를 끼치는 취약점 테스트
물리적 공격 또는 사회 공학
Synology의 승인 전 버그 정보 공개
https://*archive.synology.com에서의 디렉토리 트래버설
반사된 파일 다운로드
배너 그래빙 문제 또는 소프트웨어 버전 공개
90일 이내에 공개된 0-day 취약점
구식 서비스나 제품의 비중요 취약점
구식 웹 브라우저에만 영향을 미치는 취약점
대부분의 무차별 대입 공격 유형
반사 XSS 공격 또는 자체 XSS 공격
피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
기본 포트가 취약하다는 표시이지만 PoC를 제공하지 않는 경우
구체적인 개념 증명(PoC)이 없는 이론적 취약점
단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 되지 않는 오픈 리디렉션
직접적인 악용으로 이어지지 않는 누락된 보안 헤더
쿠키의 누락된 보안 플래그
사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 비율 제한이 없음을 입증할 수 있을 때만 범위에 포함됩니다.

*자세한 내용은 보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.

보상 세부사항

이 페이지는 연구자들이 특정 유형의 취약점에 대한 잠재적 최대 보상을 이해하고 Synology가 가장 중요하게 생각하는 취약점 유형을 강조하는 데 도움이 되도록 설계되었습니다. 우리는 여러분의 기여를 소중히 여기며 중요한 보안 연구에 대해 공정하게 보상하는 데 전념하고 있습니다.

표에 나타난 보상은 각 카테고리에 대한 최대 가능 금액을 보여주지만, 모든 자격을 갖춘 보고서가 나열된 금액을 받는 것은 보장되지 않습니다.*

중대한 취약점
	운영 체제	소프트웨어 및 C2 클라우드 서비스	Web 서비스
Zero-click pre-auth RCE	$30,000	$10,000	$5,000
Zero-click pre-auth arbitrary file r/w	$9,000	$4,600	$2,400

중요한 취약점
	운영 체제	소프트웨어 및 C2 클라우드 서비스	Web 서비스
1-click pre-auth RCE	$8,000	$4,000	$2,000
Zero-click normal-user-auth RCE	$7,500	$3,900	$1,900
Zero-click normal-user-auth arbitrary file r/w	$6,500	$3,400	$1,700
Zero-click pre-auth RCE (AC:H)	$6,500	$3,400	$1,700
1-click pre-auth RCE (AC:H)	$5,000	$2,500	$1,325
pre-auth SQL injection	$3,800	$1,950	$1,025
1-click normal-user-auth RCE (AC:H)	$2,600	$1,350	$725
pre-auth stored XSS	$2,600	$1,350	$725

보통한 취약점
	운영 체제	소프트웨어 및 C2 클라우드 서비스	Web 서비스
normal-user-auth stored XSS	$1,350	$733	$417
normal-user-auth SQL injection	$1,200	$607	$353
admin-auth vulnerabilities	$100	$100	$100

2024년 10월 1일부터 admin-auth 취약점 보상은 $100 USD로 설정됩니다.

참고:

보상 지침이 제공되지만, 각 보고서는 개별적으로 처리되며 철저히 평가됩니다. 점수는 보상 루브릭에 자세히 설명된 범위를 포함하여 다양한 요소를 고려합니다. Synology는 보상 금액의 최종 해석권을 보유합니다.
낮은 심각도로 분류된 문제나 제안에 대해서는 인정만 제공됩니다.

FAQ

취약점을 어떻게 보고해야 합니까?상세 PoC(개념 증명)를 제공하고 보고된 문제가 재현되는지 확인하십시오. 당사에 버그 보고서를 보낼 때 Synology가 제공하는 이 PGP 키 암호화 를 사용하고 관련 정보를 제3자에게 공개하지 마십시오.내 버그 제보가 보상 받을 자격이 있는지를 결정하는 책임자는 누구입니까?모든 버그 신고는 Synology의 시니어 보안 분석가로 구성된 Synology 보안 팀에서 검토하고 평가합니다.버그가 수정되기 전에 공적으로 공개되면 어떤 결과가 발생합니까?저희는 버그 제보에 대해 신속하게 대응하고 적절한 기간 내에 수정하도록 노력하고 있습니다. 버그 정보를 공개하기 전에 미리 알려주시기 바랍니다. 해당 원칙을 지키지 못한 버그 신고는 해당할 보상을 받을 수 없습니다.Apache나 Nginx와 같은 오래되는 소프트웨어에서 발견된 취약점도 보상 자격이 있습니까?소프트웨어의 취약성을 파악하고 소프트웨어 사용에 해롭다고 의심되는 이유를 설명하십시오. 해당 정보를 누락한 제보는 바운티를 받을 수 없습니다.Synology의 보안 자문 페이지에 내 이름이 나열되지 않도록 요청할 수 있습니까?네. 보안 주의보 페이지에 이름이 나열되지 않도록 요청할 수 있습니다. 그러나 보상 자격이 있고 수락하려는 경우, 입금 절차를 처리하기 위해 연락처 정보가 필요합니다.취약점 중개인에게 보고된 취약점도 보상 자격에 해당됩니까?버그 수정 이외의 목적으로 제3자에게 취약점을 사적으로 공개하는 것은 바운티 프로그램의 의미를 위배합니다. 따라서 이러한 제보는 보상 자격에 해당되지 않습니다.동일한 버그를 여러 사람이 보고한 경우 보상 자격이 누구에게 있습니까?보상은 Synology에게 알려지지 않은 취약점을 처음 발견한 사람에게 부여됩니다.

감사의 말

우리는 보안 연구원과 우리를 도와준 조직에게 감사를 전하고자 합니다.

2024
2023
2022
2021
2020
2019
2018
2017

Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
Tim Coen (https://security-consulting.icu/)
Mykola Grymalyuk from RIPEDA Consulting
Zhao Runzi (赵润梓)
Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
Offensive Security Research @ Ronin (https://ronin.ae/)
Nathan (Yama) https://DontClickThis.run
M Tayyab Iqbal (www.alphainferno.com)
Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
Wonbeen Im, STEALIEN (https://stealien.com)
赵润梓、李建申（https://lsr00ter.github.io）
Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
Steven Lin (https://x.com/5teven1in)
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
Mohd Ali (revengerali)
Orange Tsai (@orange_8361) from DEVCORE Research Team
Bocheng Xiang with FDU(@crispr)
HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
Hydrobikz (https://www.linkedin.com/in/bikash-)
Can Acar (https://imcan.dev)
Yves Bieri of Compass Security (https://www.compass-security.com)
DEVCORE Research Team (https://devco.re/)
aoxsin (https://twitter.com/aoxsin)

Endure Secure (https://endsec.au)
Stephen Argent (https://www.runby.coffee/)
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
Bruce Chen (https://twitter.com/bruce30262)
aoxsin (https://twitter.com/aoxsin)
Armanul Miraz
Jaehoon Jang, STEALIEN (https://stealien.com)
Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
Tim Coen (https://security-consulting.icu)
TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
Zhao Runzi (赵润梓)

Kevin Wang (https://twitter.com/kevingwn_ )
Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
Safwat Refaat (@Caesar302)
Jeffrey Baker (www.Biznet.net)
Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
Ravi (https://twitter.com/itsrvsinghh)
remonsec (https://twitter.com/remonsec)
TheLabda (https://thelabda.com)
Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
Sivanesh kumar (https://twitter.com/sivanesh_hacker)
Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
@aoxsin (https://twitter.com/aoxsin)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Hasibul Hasan Shawon (@Saiyan0x01)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
Lukas Kupczyk, CrowdStrike Intelligence
Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
Zhao Runzi (赵润梓)

Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
Patrik Fabian (https://websafe.hu)
Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
Jeenika Anadani (https://twitter.com/j33n1k4)
waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
Milan katwal (https://www.milankatwal.com.np/)
N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
Yimi Hu@baidu.com
Raman R Mohurle (https://twitter.com/Raman_Mohurle)
cmj (http://blog.cmj.tw/)
Parth Manek
Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
Dennis Herrmann (Code White GmbH)
Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
Devender Rao (https://www.linkedin.com/in/devender-rao)
RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
Atharv Shejwal (https://kongsec.io)
Xavier DANEST (https://sustainability.decathlon.com/)
Aditya Shende (http://kongsec.io)
Andreas Rothenbacher (https://error401.de)
Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
Suraj SK (https://www.linkedin.com/in/suraj-sk/)
Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
Touhid Shaikh (https://securityium.com/)
N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
ddaa of TrapaSecurity (https://twitter.com/0xddaa)
Praveen Kumar
Oscar Spierings (https://polyform.dev)
Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
swings of Chaitin Security Research Lab
Hasibul Hasan Rifat (https://twitter.com/rifatsec)
Lanni
Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)

Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
Lanni
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Vladislav Akimenko (Digital Security) (https://dsec.ru)
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
Aditya Soni (https://www.linkedin.com/in/adtyasoni)
Mansoor Amjad (https://twitter.com/TheOutcastCoder)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
Mehedi Hasan Remon (twitter.com/remonsec)
Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
Mohammed Eldawody (www.fb.com/eldawody0)
YoKo Kho (https://twitter.com/YoKoAcc)
Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
Tinu Tomy (https://twitter.com/tinurock007)
Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Agrah Jain (www.linkedin.com/in/agrahjain)
Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
Pratik Vinod Yadav (https://twitter.com/PratikY9967)
Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
Jan KOPEC(https://twitter.com/blogresponder)
Denis Burtanović
Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
Georg Delp (https://www.linkedin.com/in/georgdelp/)

R Atik Islam (https://www.facebook.com/atik.islam.14661)
Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
Kitab Ahmed (www.ahmed.science)
Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
Rushi Gayakwad
Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
Sumit Jain (https://twitter.com/sumit_cfe)
Qian Chen of Qihoo 360 Nirvan Team
Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
Zhong Zhaochen
Tomasz Grabowski
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Safwat Refaat (https://twitter.com/Caesar302)
Agent22 (https://securelayer7.net/)
Hsiao-Yung Chen
Rich Mirch (https://blog.mirch.io)
Ronak Nahar (https://www.linkedin.com/in/naharronak/)
Noman Shaikh (https://twitter.com/nomanAli181)
David Deller (https://horizon-nigh.org)
Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
Touhid M Shaikh (https://touhidshaikh.com)
Abhishek Gaikwad
Kitabuddin Ahmed
Noman Shaikh (https://twitter.com/nomanAli181)
Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
Dan Thomsen (www.thomsen.fo)
Erik de Jong (https://eriknl.github.io)
Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
Hasibul Hasan (SecMiner)
Mohammed Eldawody (www.fb.com/eldawody0)
Chris Schneider
Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
Axel Peters
Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
Kyle Green
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Dankel Ahmed (https://hackerone.com/kitab)
ShuangYY
HackTrack Security
Muhammed Ashmil K K (Kavuthukandiyil)

Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
Kishan kumar (https://facebook.com/noobieboy007)
Lays (http://l4ys.tw)
Ashish Kumar (https://www.facebook.com/buggyashish)
Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
Ifrah Iman (http://www.ifrahiman.com)
Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
Taien Wang (https://www.linkedin.com/in/taienwang/)
Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
Yasser Gersy (https://twitter.com/yassergersy)
Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
Thomas Fady (https://www.linkedin.com/in/thomas-fady)
Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
1N3@CrowdShield (https://crowdshield.com)
louys, Xie Wei (解炜), Li Yanlong (李衍龙)
Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
Ali Razzaq (https://twitter.com/AliRazzaq_)
丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
Alex Weber (www.broot.ca)
Alex Bastrakov (https://twitter.com/kazan71p)
Mehidia Tania (https://www.beetles.io)
freetsubasa (https://twitter.com/freetsubasa)
Łukasz Rutkowski (http://www.forit.pl/)
Maximilian Tews (www.linkedin.com/in/maximilian-tews)
Bryan Galao (https://www.facebook.com/xbryan.galao)
Jim Zhou (vip-cloud.cn)
Chun Han Hsiao
Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
Olivier Bédard
Mohamed Eldawody (https://www.facebook.com/Eldawody0)
Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
郑吉宏通过 GeekPwn 平台提交
Independent Security Evaluators (ISE) labs
Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
Uriya Yavnieli from VDOO (https://vdoo.com)
Jung Chan Hyeok
Zhong Zhaochen (http://asnine.com)

Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
Sumit Jain
Ketankumar B. Godhani (https://twitter.com/KBGodhani)
karthickumar (Ramanathapuram)
Alireza Azimzadeh Milani
Taien Wang (https://www.facebook.com/taien.tw)
Frédéric Crozat (http://blog.crozat.net/)
Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
SSD/Kacper Szurek
Alexander Drabek (https://www.2-sec.com/)
RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
Kushal Arvind Shah of Fortinet’s FortiGuard Labs
Alvin Poon (https://alvinpoon.myportfolio.com/)
C.shahidyan, C.Akilan, K.Sai Aswanth
BambooFox (https://bamboofox.github.io/)
Sajibe Kanti (https://twitter.com/sajibekantibd)
Huy Kha (linkedin.com/in/huykha)
Pal Patel (https://www.linkedin.com/in/pal434/)
Pethuraj M (https://www.linkedin.com/in/pethu/)
Ali Ashber (https://www.facebook.com/aliashber7)
Muzammil Abbas Kayani (@muzammilabbas2 )
Tayyab Qadir (facebook.com/tqMr.EditOr)
Babar Khan Akhunzada (www.SecurityWall.co)
Mahad Ahmed (https://octadev.com.pk)
JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
Mubassir Kamdar (http://www.mubassirkamdar.com)
Daniel Díez Tainta (https://twitter.com/danilabs)
Tushar Rawool (twitter.com/tkrawool)
Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
Ashish Kunwar (twitter: @D0rkerDevil)
Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
Roopak Voleti (https://m.facebook.com/sairoopak.voleti)