Seems like there is a more localized page available for your location.
Store

Sammanställning av kundvagn ()

Totalt (undefined artiklar)Inkl. moms undefined%. Frakten beräknas vid kassan.

Fortsätt handla

Bee-serien från Synology
Produkter A-Ö
Store
Säkerhets Bug Bounty-program
Eftersom hoten utvecklas och ökar både i frekvens och sofistikation, arbetar Synology med säkerhetsforskare för att upprätthålla och ytterligare stärka våra skydd.
ProduktomfångDetta program accepterar endast sårbarhetsrapporter relaterade till Synologys produkter och webbtjänster. Sårbarhetsrapporter som faller utanför programmets omfattning kvalificerar generellt inte för belöningar; dock kan rapporter om kritiska sårbarheter utanför omfattningen accepteras beroende på situationen.

Operativsystem

Belöningar på upp till

30000

Inkluderar Synology DiskStation Manager, Synology Router Manager och Synology BeeStation.

Få reda på mer

Mjukvara och C2 molntjänster

Belöningar på upp till

10000

Inkluderar Synology-utvecklade mjukvarupaket, relaterade mobilappar och C2 molntjänster.

Få reda på mer

Web tjänster

Belöningar på upp till

5000

Inkluderar alla större Synology webbtjänster.

Få reda på mer
Belöningsdetaljer
Kriterier för belöningsberättigande
Vänligen tillhandahåll all information vi behöver för att reproducera de rapporterade problemen. Storleken på varje belöning beror på allvaret i den rapporterade sårbarheten och vilken produktkategori som påverkas.För att kvalificera sig för monetära belöningar måste rapporterna uppfylla följande kriterier:
  1. Du är den första forskaren som rapporterar denna sårbarhet
  2. Den rapporterade sårbarheten är bekräftad att vara verifierbar, replikerbar och ett giltigt säkerhetsproblem
  3. Din rapport följer Bounty Programs villkor och regler
Rapportering av säkerhetsbuggarOm du tror att du har hittat en sårbarhet, följ stegen nedan:
Steg 1

Kontakta oss via kontaktformuläret för Bounty-programmet.

Steg 2

Använd denna PGP-nyckel för att kryptera din information när du skickar felrapporter till Synology.

Steg 3

Inkludera ett detaljerat Proof of Concept (PoC) och se till att de rapporterade problemen kan reproduceras.

Steg 4

Håll din beskrivning koncis. Till exempel är en kort proof-of-concept-länk mer värderad än en video som förklarar konsekvenserna av ett SSRF-problem.

Ditt och vårt ansvarDin rapportFör att minska vår behandlingstid bör en bra sårbarhetsrapport:
  1. Innehålla en tydligt skriven steg-för-steg-beskrivning på engelska om hur sårbarheten kan reproduceras
  2. Demonstrera hur sårbarheten påverkar Synology-produkter eller webbtjänster och beskriva vilka versioner och plattformar som påverkas
  3. Ange den potentiella skadan som orsakas av den rapporterade sårbarheten
Vårt svar
Synology Security Team kommer att svara på din rapport inom 7 dagar och regelbundet uppdatera statusen och åtgärda sårbarheten så snart som möjligt, beroende på hotets allvarlighetsgrad.Om din sårbarhetsrapport kvalificerar för en monetär belöning, kommer ditt namn att listas på Säkerhetsnotiser från Synology -sidan på vår officiella webbplats som en gest av vår uppskattning.Denna process kommer att ta minst 90 dagar. Din belöning kommer att överföras till dig vid slutförandet av processen.
Noteringar:Synology förbehåller sig rätten att ändra eller avbryta detta program, inklusive dess policyer, när som helst utan föregående meddelande.
Operativsystem
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 30 000 US-dollar.*

Produkter inom omfattningen

Endast rapporter om officiellt släppta versioner accepteras.

DiskStation Manager (DSM)

  • DSM 7 (senaste versionen)

Synology Router Manager (SRM)

  • SRM 1.3 (senaste versionen)

Synology Camera firmware

  • Firmware 1.1 (senaste versionen)

Synology BeeStation

  • BeeStation OS 1.0 (senaste versionen)
Regler och restriktioner

Detta program är strikt begränsat till säkerhetssårbarheter som finns i Synology-produkter och tjänster. Åtgärder som potentiellt kan skada eller negativt påverka Synology-servrar eller data är strikt förbjudna. Sårbarhetstestning får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte under programmet om de beskriver eller involverar:

  1. DoS (Denial of Service)-attacker mot Synologys eller användares servrar
  2. Sårbarhetstester som är skadliga för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social ingenjörskonst
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  6. Sårbarheter som endast påverkar föråldrade webbläsare
  7. De flesta typer av brute-force-attacker
  8. Reflekterade XSS-attacker eller själv-XSS-attacker
  9. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  10. Rapporter om sårbarhetsskanning som inte detaljerar sårbarhetens effekter
  11. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  12. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  13. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  14. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  15. Saknade säkerhetsflaggor i cookies
  16. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfånget om du inte kan visa att vi inte har några hastighetsgränser för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för Säkerhetsbuggprogrammet för mer information.
**Den maximala belöningen för sårbarheter i SRM_LAN är $5,000.
***Den maximala belöningen för sårbarheter i kamerans firmware är $10,000.
Mjukvara och C2 molntjänster
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 10 000 US-dollar.*

Produkter inom omfattningen

Endast rapporter om officiellt släppta versioner accepteras.

Paket

Synology-utvecklade mjukvarupaket

Skrivbordsklienter

Synology-utvecklade applikationer för Windows, macOS och Linux

Mobila appar

Synology-utvecklade mobila appar för Android och iOS

Synology-konto

  • *.account.synology.com domäner
  • *.identity.synology.com domäner

C2-tjänster

*.c2.synology.com domäner

Regler och restriktioner

Detta program är strikt begränsat till säkerhetssårbarheter som hittas i Synology-produkter och tjänster. Handlingar som potentiellt kan skada eller skada Synology-servrar eller data är strikt förbjudna. Sårbarhetstester får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte under programmet om de beskriver eller involverar:

  1. DoS (Denial of Service)-attacker mot Synologys eller användares servrar
  2. Sårbarhetstester som är skadliga för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social ingenjörskonst
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  6. Sårbarheter som endast påverkar föråldrade webbläsare
  7. De flesta typer av brute-force-attacker
  8. Reflekterade XSS-attacker eller själv-XSS-attacker
  9. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  10. Rapporter om sårbarhetsskanning som inte detaljerar sårbarhetens effekter
  11. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  12. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  13. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  14. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  15. Saknade säkerhetsflaggor i cookies
  16. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfånget om du inte kan visa att vi inte har några hastighetsgränser för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för säkerhetsbuggprogrammet för mer information.
Web tjänster
Belöning

Kvalificerade rapporter är berättigade till en belöning på upp till 5 000 US-dollar.*

Produkter inom omfattningen

Följande domäner (inklusive underdomäner) är inom omfånget:

*.synology.com

Följande domäner (inklusive underdomäner) är utanför omfattningen:

openstack-ci-logs.synology.com, router.synology.com

Synology förbehåller sig rätten att ändra denna lista när som helst utan förvarning.

Regler och restriktioner

Detta program är strikt begränsat till säkerhetsbrister som hittas i Synologys produkter och tjänster. Åtgärder som potentiellt kan skada eller ha en skadlig effekt på Synologys servrar eller data är strikt förbjudna. Sårbarhetstestning får inte bryta mot lokala eller taiwanesiska lagar.

Sårbarhetsrapporter accepteras inte inom programmet om de beskriver eller involverar:

  1. DoS (Denial of Service) attacker mot Synologys eller användares servrar
  2. Sårbarhetstestning som är skadlig för Synologys eller användares servrar eller data
  3. Fysiska attacker eller social manipulation
  4. Avslöjande av bugginformation innan godkännande av Synology
  5. Katalogtraversal på https://*archive.synology.com
  6. Reflekterad filnedladdning
  7. Banner grabbing-problem eller avslöjande av programvaruversion
  8. 0-dagars sårbarhet avslöjad inom 90 dagar
  9. Icke-kritiska sårbarheter i föråldrade tjänster eller produkter
  10. Sårbarheter som endast påverkar föråldrade webbläsare
  11. De flesta typer av brute-force attacker
  12. Reflekterade XSS-attacker eller Self XSS-attacker
  13. Sårbarheter som involverar phishing, skapande av falska webbplatser eller bedrägeri
  14. Sårbarhetsskanningsrapporter som inte detaljerar sårbarhetens effekter
  15. Indikationer på att standardportar är sårbara, men utan att tillhandahålla en PoC
  16. Teoretiska sårbarheter som saknar konkret Proof of Concept (PoC)
  17. Öppna omdirigeringar anses vanligtvis vara informativa och kvalificerar inte för belöningar om de inte bidrar till en mer betydande sårbarhet
  18. Saknade säkerhetshuvuden som inte direkt leder till exploatering
  19. Saknade säkerhetsflaggor i cookies
  20. Användaruppräkning. Rapporter som beskriver användaruppräkning är inte inom omfattningen om du inte kan visa att vi inte har några hastighetsgränser på plats för att skydda våra användare.
*Se sidan för belöningsdetaljer på webbsidan för säkerhetsbuggprogrammet för mer information.
Belöningsdetaljer
Denna sida är utformad för att hjälpa forskare att förstå de potentiella maximala belöningarna för specifika typer av sårbarheter och att belysa de typer av sårbarheter som Synology värderar mest. Vi värderar dina bidrag och är dedikerade till att rättvist belöna betydande säkerhetsforskning.Belöningarna i tabellen visar det maximala möjliga för varje kategori, men inte varje kvalificerad rapport garanteras att få det listade beloppet.*
Kritisk
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Viktig
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Måttlig
OperativsystemProgramvara och C2 molntjänsterWeb tjänster
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. Från och med den 1 oktober 2024 kommer belöningar för admin-auth sårbarheter att sättas till $100 USD.
  2. För Desktop Clients, om CVSS-vektorn inkluderar något av följande, sätts belöningen till $100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Noteringar:

  • Observera att även om riktlinjer för belöningar tillhandahålls, behandlas varje rapport individuellt och utvärderas noggrant. Poängsättningen tar hänsyn till olika faktorer, inklusive men inte begränsat till omfånget som detaljeras i belöningsmatrisen. Synology förbehåller sig rätten till slutlig tolkning av beloppen.
  • För frågor som klassificeras som låg allvarlighetsgrad eller förslag kommer endast bekräftelser att ges.
Frågor och svarHur ska jag rapportera en sårbarhet?Vänligen tillhandahåll en detaljerad PoC (Proof of Concept) och se till att de rapporterade problemen kan reproduceras. Använd denna PGP-nyckelkryptering erbjuden av Synology när du skickar bugg rapporter till oss och avslöja inte relevant information till någon tredje part.Vem är ansvarig för att avgöra om min bugg rapport är berättigad till en belöning?Alla bugg rapporter granskas och utvärderas av Synology Security Team, som består av Synologys seniora säkerhetsanalytiker.Vad är konsekvensen om en bugg offentliggörs innan den åtgärdas?Vi strävar efter att svara på bugg rapporter omgående och åtgärda dem inom en rimlig tidsperiod. Vänligen meddela oss i förväg innan du offentligt avslöjar bugg informationen. Alla bugg avslöjanden som inte följer denna princip kommer inte att kvalificera för en belöning.Är sårbarheter som finns i föråldrad programvara som Apache eller Nginx berättigade till en belöning?Vänligen identifiera sårbarheterna i programvaran och förklara varför du misstänker att de är skadliga för programvarans användning. Rapporter som utelämnar denna typ av information är vanligtvis inte kvalificerade för en belöning.Kan jag begära att mitt namn inte listas på Synologys Säkerhetsrådgivningssida?Ja. Du kan begära att inte listas på vår Säkerhetsrådgivningssida. Men om du är kvalificerad för en belöning och önskar acceptera den, behöver vi fortfarande din kontaktinformation för att behandla betalningen.Är sårbarheter fortfarande berättigade till en belöning om de rapporteras till sårbarhetsmäklare?Att privat avslöja en sårbarhet för tredje part i syfte annat än buggfixning strider mot andan i vårt program. Därför kommer sådana rapporter inte att kvalificera för en belöning.Vem är berättigad till en belöning om samma bugg rapporteras av fler än en person?Belöningen ges till den första personen som upptäcker en sårbarhet som tidigare var okänd för oss.
ErkännandeVi vill ge en hattknäpp till säkerhetsforskare och organisationer som har hjälpt oss.
  • David Oxley
  • Abdelali Chekiel