โครงการ Security Bug Bounty Program

โปรแกรมรางวัลบั๊กความปลอดภัย

เนื่องจากภัยคุกคามที่พัฒนาและเพิ่มขึ้นทั้งในความถี่และความซับซ้อน Synology กำลังทำงานร่วมกับนักวิจัยด้านความปลอดภัยเพื่อรักษาและเสริมสร้างการป้องกันของเรา

ขอบเขตผลิตภัณฑ์

โปรแกรมนี้รับเฉพาะรายงานความเสี่ยงที่เกี่ยวข้องกับผลิตภัณฑ์และบริการเว็บของ Synology เท่านั้น รายงานความเสี่ยงที่ไม่อยู่ในขอบเขตของโปรแกรมโดยทั่วไปไม่มีสิทธิ์ได้รับรางวัล อย่างไรก็ตาม รายงานความเสี่ยงที่อยู่นอกขอบเขตของช่องโหว่ที่สำคัญอาจได้รับการยอมรับขึ้นอยู่กับสถานการณ์.

ระบบปฏิบัติการ

รางวัลสูงสุดถึง

US $10,000

รวมถึง Synology DiskStation Manager, Synology Router Manager และ Synology BeeStation.

เรียนรู้เพิ่มเติม

ซอฟต์แวร์และบริการคลาวด์ C2

รางวัลสูงสุดถึง

US $10,000

รวมถึงแพ็คเกจซอฟต์แวร์ที่พัฒนาโดย Synology, แอปมือถือที่เกี่ยวข้อง และบริการคลาวด์ C2.

เรียนรู้เพิ่มเติม

Web บริการ

รางวัลสูงสุดถึง

US $10,000

รวมถึงบริการเว็บหลักทั้งหมดของ Synology.

เรียนรู้เพิ่มเติม

รายละเอียดรางวัล

เกณฑ์การมีสิทธิ์ได้รับรางวัล

โปรดให้ข้อมูลใด ๆ ที่เราต้องการเพื่อทำซ้ำปัญหาที่รายงาน ขนาดของรางวัลแต่ละรางวัลขึ้นอยู่กับความรุนแรงของช่องโหว่ที่รายงานและหมวดหมู่ผลิตภัณฑ์ที่ได้รับผลกระทบ.

เพื่อมีสิทธิ์ได้รับรางวัลเงินสด รายงานต้องตอบสนองตามเกณฑ์ต่อไปนี้:

คุณเป็นนักวิจัยคนแรกที่รายงานช่องโหว่นี้
ช่องโหว่ที่รายงานได้รับการยืนยันว่าสามารถตรวจสอบได้ ทำซ้ำได้ และเป็นปัญหาความปลอดภัยที่ถูกต้อง
รายงานของคุณปฏิบัติตามข้อกำหนดและข้อบังคับของโปรแกรม Bounty

การรายงานข้อบกพร่องด้านความปลอดภัย

หากคุณเชื่อว่าคุณพบช่องโหว่ โปรดทำตามขั้นตอนด้านล่าง:

ขั้นตอนที่ 1

ติดต่อเราโดยใช้ แบบฟอร์มติดต่อโปรแกรมรางวัล

ขั้นตอนที่ 2

ใช้ คีย์ PGP นี้เพื่อเข้ารหัสข้อมูลของคุณเมื่อส่งรายงานข้อผิดพลาดไปยัง Synology

ขั้นตอนที่ 3

รวมหลักฐานที่ชัดเจน (PoC) และตรวจสอบให้แน่ใจว่าปัญหาที่รายงานสามารถทำซ้ำได้.

ขั้นตอนที่ 4

ให้คำอธิบายของคุณกระชับ ตัวอย่างเช่น ลิงก์หลักฐานที่ชัดเจนสั้น ๆ มีค่ามากกว่าวิดีโอที่อธิบายผลกระทบของปัญหา SSRF.

ความรับผิดชอบของคุณและเรา

รายงานของคุณ

เพื่อลดเวลาในการประมวลผลของเรา รายงานช่องโหว่ที่ดีควร:

มีคำอธิบายทีละขั้นตอนที่เขียนอย่างชัดเจน เป็นภาษาอังกฤษ เกี่ยวกับวิธีการทำซ้ำช่องโหว่
แสดงให้เห็นว่าช่องโหว่มีผลกระทบต่อผลิตภัณฑ์หรือบริการเว็บของ Synology อย่างไร และอธิบายว่าเวอร์ชันและแพลตฟอร์มใดได้รับผลกระทบ
ระบุความเสียหายที่อาจเกิดขึ้นจากช่องโหว่ที่รายงาน

การตอบกลับของเรา

ทีมความปลอดภัยของ Synology จะตอบกลับรายงานของคุณภายใน 7 วันและอัปเดตสถานะและแก้ไขช่องโหว่โดยเร็วที่สุดตามความรุนแรงของภัยคุกคาม

หากรายงานช่องโหว่ของคุณมีคุณสมบัติสำหรับรางวัลเงินสด ชื่อของคุณจะถูกแสดงในหน้า คำแนะนำด้านความปลอดภัยของผลิตภัณฑ์ Synology บนเว็บไซต์อย่างเป็นทางการของเราเพื่อเป็นการขอบคุณ

กระบวนการนี้จะใช้เวลาอย่างน้อย 90 วัน รางวัลของคุณจะถูกโอนให้คุณเมื่อกระบวนการเสร็จสิ้น

หมายเหตุ:Synology ขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือยกเลิกโปรแกรมนี้ รวมถึงนโยบายของเรา ณ ทุกเวลาโดยไม่ต้องแจ้งล่วงหน้า

ระบบปฏิบัติการ

รางวัล	รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $30,000 ดอลลาร์สหรัฐ*
ผลิตภัณฑ์ภายในขอบเขต	รายงานเฉพาะเกี่ยวกับเวอร์ชันที่ออกอย่างเป็นทางการเท่านั้นที่ได้รับการยอมรับ DiskStation Manager (DSM) DSM 7 (เวอร์ชันล่าสุด) Synology Router Manager (SRM) SRM 1.3 (เวอร์ชันล่าสุด) เฟิร์มแวร์ Synology Camera เฟิร์มแวร์ 1.1 (เวอร์ชันล่าสุด) Synology BeeStation ระบบปฏิบัติการ BeeStation 1.0 (เวอร์ชันล่าสุด)
ข้อบังคับและข้อจำกัด	โปรแกรมนี้จำกัดเฉพาะช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์และบริการของ Synology เท่านั้น การกระทำที่อาจทำให้เกิดความเสียหายหรือกระทบกระเทือนต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology ถือเป็นการห้ามอย่างเด็ดขาด การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือของไต้หวัน รายงานช่องโหว่ไม่ได้รับการยอมรับภายใต้โปรแกรมหากอธิบายหรือเกี่ยวข้องกับ: การโจมตีแบบ DoS (Denial of Service) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้ การทดสอบช่องโหว่ที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้ การโจมตีทางกายภาพหรือวิศวกรรมทางสังคม การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย ช่องโหว่ที่มีผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย การโจมตีแบบบรูตฟอร์ซส่วนใหญ่ การโจมตีแบบ Reflected XSS หรือ Self XSS ช่องโหว่ที่เกี่ยวข้องกับการหลอกลวง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง รายงานการสแกนช่องโหว่ที่ไม่ได้อธิบายผลกระทบของช่องโหว่ สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีช่องโหว่ แต่ไม่มีการให้ PoC ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC) การเปลี่ยนทางที่เปิดอยู่เพียงอย่างเดียวมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัล ยกเว้นว่าพวกเขามีส่วนร่วมในช่องโหว่ที่สำคัญยิ่งขึ้น หัวข้อความปลอดภัยที่หายไปซึ่งไม่นำไปสู่การถูกใช้ประโยชน์โดยตรง ธงความปลอดภัยในคุกกี้ที่หายไป การระบุผู้ใช้ รายงานที่กล่าวถึงการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

รางวัล

รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $30,000 ดอลลาร์สหรัฐ*

ผลิตภัณฑ์ภายในขอบเขต

รายงานเฉพาะเกี่ยวกับเวอร์ชันที่ออกอย่างเป็นทางการเท่านั้นที่ได้รับการยอมรับ

DiskStation Manager (DSM)

DSM 7 (เวอร์ชันล่าสุด)

Synology Router Manager (SRM)

SRM 1.3 (เวอร์ชันล่าสุด)

เฟิร์มแวร์ Synology Camera

เฟิร์มแวร์ 1.1 (เวอร์ชันล่าสุด)

Synology BeeStation

ระบบปฏิบัติการ BeeStation 1.0 (เวอร์ชันล่าสุด)

ข้อบังคับและข้อจำกัด

โปรแกรมนี้จำกัดเฉพาะช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์และบริการของ Synology เท่านั้น การกระทำที่อาจทำให้เกิดความเสียหายหรือกระทบกระเทือนต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology ถือเป็นการห้ามอย่างเด็ดขาด การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือของไต้หวัน

รายงานช่องโหว่ไม่ได้รับการยอมรับภายใต้โปรแกรมหากอธิบายหรือเกี่ยวข้องกับ:

การโจมตีแบบ DoS (Denial of Service) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้
การทดสอบช่องโหว่ที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้
การโจมตีทางกายภาพหรือวิศวกรรมทางสังคม
การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology
ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย
ช่องโหว่ที่มีผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย
การโจมตีแบบบรูตฟอร์ซส่วนใหญ่
การโจมตีแบบ Reflected XSS หรือ Self XSS
ช่องโหว่ที่เกี่ยวข้องกับการหลอกลวง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง
รายงานการสแกนช่องโหว่ที่ไม่ได้อธิบายผลกระทบของช่องโหว่
สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีช่องโหว่ แต่ไม่มีการให้ PoC
ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC)
การเปลี่ยนทางที่เปิดอยู่เพียงอย่างเดียวมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัล ยกเว้นว่าพวกเขามีส่วนร่วมในช่องโหว่ที่สำคัญยิ่งขึ้น
หัวข้อความปลอดภัยที่หายไปซึ่งไม่นำไปสู่การถูกใช้ประโยชน์โดยตรง
ธงความปลอดภัยในคุกกี้ที่หายไป
การระบุผู้ใช้ รายงานที่กล่าวถึงการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

*ดูหน้ารายละเอียดรางวัลในหน้าเว็บโปรแกรมบักด้านการรักษาความปลอดภัยสำหรับรายละเอียดเพิ่มเติม
**รางวัลสูงสุดสำหรับช่องโหว่ใน SRM_LAN คือ 5,000 ดอลลาร์สหรัฐ
***รางวัลสูงสุดสำหรับช่องโหว่ในเฟิร์มแวร์ของกล้องคือ 10,000 ดอลลาร์สหรัฐ

ซอฟต์แวร์และบริการคลาวด์ C2

รางวัล	รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $10,000 ดอลลาร์สหรัฐ*
ผลิตภัณฑ์ภายในขอบเขต	รายงานเฉพาะเกี่ยวกับเวอร์ชันที่เปิดตัวอย่างเป็นทางการเท่านั้นที่ได้รับการยอมรับ แพ็คเกจ แพ็คเกจซอฟต์แวร์ที่พัฒนาโดย Synology ไคลเอนต์เดสก์ท็อป แอปพลิเคชัน Windows, macOS และ Linux ที่พัฒนาโดย Synology แอปพลิเคชันมือถือ แอปพลิเคชันมือถือที่พัฒนาโดย Synology สำหรับ Android และ iOS บัญชี Synology .account.synology.com domains .identity.synology.com domains บริการ C2 *.c2.synology.com domains
ข้อบังคับและข้อจำกัด	โปรแกรมนี้จำกัดเฉพาะช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์และบริการของ Synology เท่านั้น การกระทำที่อาจทำให้เกิดความเสียหายหรือส่งผลเสียอย่างรุนแรงต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology ถือเป็นการห้ามอย่างเคร่งครัด การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือของไต้หวัน รายงานช่องโหว่ไม่ได้รับการยอมรับภายใต้โปรแกรมหากมีการอธิบายหรือเกี่ยวข้องกับ: การโจมตีแบบ DoS (Denial of Service) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้ การทดสอบช่องโหว่ที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้ การโจมตีทางกายภาพหรือวิศวกรรมทางสังคม การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย ช่องโหว่ที่มีผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย การโจมตีแบบบรูตฟอร์ซส่วนใหญ่ การโจมตีแบบ Reflected XSS หรือ Self XSS ช่องโหว่ที่เกี่ยวข้องกับการหลอกลวง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง รายงานการสแกนช่องโหว่ที่ไม่ได้อธิบายผลกระทบของช่องโหว่ สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีช่องโหว่ แต่ไม่มีการให้ PoC ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC) การเปลี่ยนทางที่เปิดอยู่เพียงอย่างเดียวมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัล ยกเว้นว่าพวกเขามีส่วนร่วมในช่องโหว่ที่สำคัญยิ่งขึ้น หัวข้อความปลอดภัยที่หายไปซึ่งไม่นำไปสู่การถูกใช้ประโยชน์โดยตรง ธงความปลอดภัยในคุกกี้ที่หายไป การระบุผู้ใช้ รายงานที่กล่าวถึงการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

รางวัล

รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $10,000 ดอลลาร์สหรัฐ*

ผลิตภัณฑ์ภายในขอบเขต

รายงานเฉพาะเกี่ยวกับเวอร์ชันที่เปิดตัวอย่างเป็นทางการเท่านั้นที่ได้รับการยอมรับ

แพ็คเกจ

แพ็คเกจซอฟต์แวร์ที่พัฒนาโดย Synology

ไคลเอนต์เดสก์ท็อป

แอปพลิเคชัน Windows, macOS และ Linux ที่พัฒนาโดย Synology

แอปพลิเคชันมือถือ

แอปพลิเคชันมือถือที่พัฒนาโดย Synology สำหรับ Android และ iOS

บัญชี Synology

*.account.synology.com domains
*.identity.synology.com domains

บริการ C2

*.c2.synology.com domains

ข้อบังคับและข้อจำกัด

โปรแกรมนี้จำกัดเฉพาะช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์และบริการของ Synology เท่านั้น การกระทำที่อาจทำให้เกิดความเสียหายหรือส่งผลเสียอย่างรุนแรงต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology ถือเป็นการห้ามอย่างเคร่งครัด การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือของไต้หวัน

รายงานช่องโหว่ไม่ได้รับการยอมรับภายใต้โปรแกรมหากมีการอธิบายหรือเกี่ยวข้องกับ:

การโจมตีแบบ DoS (Denial of Service) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้
การทดสอบช่องโหว่ที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้
การโจมตีทางกายภาพหรือวิศวกรรมทางสังคม
การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology
ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย
ช่องโหว่ที่มีผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย
การโจมตีแบบบรูตฟอร์ซส่วนใหญ่
การโจมตีแบบ Reflected XSS หรือ Self XSS
ช่องโหว่ที่เกี่ยวข้องกับการหลอกลวง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง
รายงานการสแกนช่องโหว่ที่ไม่ได้อธิบายผลกระทบของช่องโหว่
สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีช่องโหว่ แต่ไม่มีการให้ PoC
ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC)
การเปลี่ยนทางที่เปิดอยู่เพียงอย่างเดียวมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัล ยกเว้นว่าพวกเขามีส่วนร่วมในช่องโหว่ที่สำคัญยิ่งขึ้น
หัวข้อความปลอดภัยที่หายไปซึ่งไม่นำไปสู่การถูกใช้ประโยชน์โดยตรง
ธงความปลอดภัยในคุกกี้ที่หายไป
การระบุผู้ใช้ รายงานที่กล่าวถึงการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

*รายงานเกี่ยวกับไคลเอนต์เดสก์ท็อปและ XSS ที่จัดเก็บจะมีสิทธิ์ได้รับรางวัลสูงสุด $5,000 และ $1,350 ดอลลาร์สหรัฐตามลำดับ

Web บริการ

รางวัล	รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $5,000 ดอลลาร์สหรัฐ*
ผลิตภัณฑ์ภายในขอบเขต	โดเมนต่อไปนี้ (รวมถึงโดเมนย่อย) อยู่ในขอบเขต: *.synology.com โดเมนต่อไปนี้ (รวมถึงโดเมนย่อย) อยู่นอกขอบเขต: openstack-ci-logs.synology.com, router.synology.com Synology สงวนสิทธิ์ในการแก้ไขรายการนี้ได้ทุกเมื่อโดยไม่ต้องแจ้งให้ทราบล่วงหน้า
ข้อบังคับและข้อจำกัด	โปรแกรมนี้จำกัดเฉพาะช่องโหว่ด้านความปลอดภัยที่พบในผลิตภัณฑ์และบริการของ Synology เท่านั้น การกระทำที่อาจทำให้เกิดความเสียหายหรือส่งผลเสียอย่างรุนแรงต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology ถือเป็นการห้ามอย่างเคร่งครัด การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือของไต้หวัน รายงานความเสี่ยงจะไม่ได้รับการยอมรับภายใต้โปรแกรมหากมีการอธิบายหรือเกี่ยวข้องกับ: การโจมตีปฏิเสธการให้บริการ (DoS) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้ การทดสอบความเสี่ยงที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้ การโจมตีทางกายภาพหรือวิศวกรรมสังคม การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology การเดินทางข้ามไดเรกทอรีบน https://*archive.synology.com การดาวน์โหลดไฟล์ที่สะท้อนกลับ ปัญหาการจับธงหรือการเปิดเผยเวอร์ชันซอฟต์แวร์ การเปิดเผยช่องโหว่ 0-day ภายใน 90 วัน ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย ช่องโหว่ที่ส่งผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย ประเภทการโจมตีแบบบรูตฟอร์ซส่วนใหญ่ การโจมตี XSS ที่สะท้อนกลับหรือการโจมตี XSS ของตนเอง ช่องโหว่ที่เกี่ยวข้องกับการฟิชชิง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง รายงานการสแกนความเสี่ยงที่ไม่ได้อธิบายผลกระทบของช่องโหว่ สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีความเสี่ยง แต่ไม่ได้ให้ PoC ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC) การเปลี่ยนทางที่เปิดโดยตัวเองมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัลเว้นแต่จะมีส่วนช่วยในช่องโหว่ที่สำคัญยิ่งขึ้น การขาดส่วนหัวความปลอดภัยที่ไม่นำไปสู่การใช้ประโยชน์โดยตรง การขาดธงความปลอดภัยในคุกกี้ การระบุผู้ใช้ รายงานที่ระบุการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

รางวัล

รายงานที่ผ่านการรับรองจะมีสิทธิ์ได้รับรางวัลสูงสุด $5,000 ดอลลาร์สหรัฐ*

ผลิตภัณฑ์ภายในขอบเขต

โดเมนต่อไปนี้ (รวมถึงโดเมนย่อย) อยู่ในขอบเขต:

*.synology.com

โดเมนต่อไปนี้ (รวมถึงโดเมนย่อย) อยู่นอกขอบเขต:

openstack-ci-logs.synology.com, router.synology.com

Synology สงวนสิทธิ์ในการแก้ไขรายการนี้ได้ทุกเมื่อโดยไม่ต้องแจ้งให้ทราบล่วงหน้า

ข้อบังคับและข้อจำกัด

รายงานความเสี่ยงจะไม่ได้รับการยอมรับภายใต้โปรแกรมหากมีการอธิบายหรือเกี่ยวข้องกับ:

การโจมตีปฏิเสธการให้บริการ (DoS) ต่อเซิร์ฟเวอร์ของ Synology หรือผู้ใช้
การทดสอบความเสี่ยงที่เป็นอันตรายต่อเซิร์ฟเวอร์หรือข้อมูลของ Synology หรือผู้ใช้
การโจมตีทางกายภาพหรือวิศวกรรมสังคม
การเปิดเผยข้อมูลข้อบกพร่องก่อนได้รับการอนุมัติจาก Synology
การเดินทางข้ามไดเรกทอรีบน https://*archive.synology.com
การดาวน์โหลดไฟล์ที่สะท้อนกลับ
ปัญหาการจับธงหรือการเปิดเผยเวอร์ชันซอฟต์แวร์
การเปิดเผยช่องโหว่ 0-day ภายใน 90 วัน
ช่องโหว่ที่ไม่สำคัญในบริการหรือผลิตภัณฑ์ที่ล้าสมัย
ช่องโหว่ที่ส่งผลกระทบเฉพาะเบราว์เซอร์เว็บที่ล้าสมัย
ประเภทการโจมตีแบบบรูตฟอร์ซส่วนใหญ่
การโจมตี XSS ที่สะท้อนกลับหรือการโจมตี XSS ของตนเอง
ช่องโหว่ที่เกี่ยวข้องกับการฟิชชิง, การสร้างเว็บไซต์ปลอม, หรือการกระทำการฉ้อโกง
รายงานการสแกนความเสี่ยงที่ไม่ได้อธิบายผลกระทบของช่องโหว่
สัญญาณที่บ่งบอกว่าพอร์ตเริ่มต้นมีความเสี่ยง แต่ไม่ได้ให้ PoC
ช่องโหว่ทฤษฎีที่ขาดหลักฐานที่ชัดเจน (PoC)
การเปลี่ยนทางที่เปิดโดยตัวเองมักถือว่าเป็นข้อมูลและไม่มีสิทธิ์ได้รับรางวัลเว้นแต่จะมีส่วนช่วยในช่องโหว่ที่สำคัญยิ่งขึ้น
การขาดส่วนหัวความปลอดภัยที่ไม่นำไปสู่การใช้ประโยชน์โดยตรง
การขาดธงความปลอดภัยในคุกกี้
การระบุผู้ใช้ รายงานที่ระบุการระบุผู้ใช้ไม่อยู่ในขอบเขตเว้นแต่คุณจะแสดงให้เห็นว่าเราไม่มีขีดจำกัดอัตราใด ๆ เพื่อปกป้องผู้ใช้ของเรา

*รายงานเกี่ยวกับ XSS ที่จัดเก็บจะมีสิทธิ์ได้รับรางวัลสูงสุด $725 ดอลลาร์สหรัฐ

รายละเอียดรางวัล

หน้านี้ออกแบบมาเพื่อช่วยให้นักวิจัยเข้าใจถึงรางวัลสูงสุดที่เป็นไปได้สำหรับประเภทของช่องโหว่ที่เฉพาะเจาะจงและเน้นประเภทของช่องโหว่ที่ Synology ให้ความสำคัญมากที่สุด เราให้คุณค่ากับการมีส่วนร่วมของคุณและมุ่งมั่นที่จะให้รางวัลอย่างยุติธรรมสำหรับการวิจัยด้านความปลอดภัยที่สำคัญ

รางวัลในตารางแสดงถึงสูงสุดที่เป็นไปได้สำหรับแต่ละหมวดหมู่ แต่ไม่ใช่ทุกรายงานที่มีสิทธิ์จะได้รับจำนวนเงินที่ระบุ*

วิกฤต
	ระบบปฏิบัติการ	บริการซอฟต์แวร์และ C2 cloud	Web บริการ
Zero-click pre-auth RCE	$30,000	$10,000	$5,000
Zero-click pre-auth arbitrary file r/w	$9,000	$4,600	$2,400

สำคัญ
	ระบบปฏิบัติการ	บริการซอฟต์แวร์และ C2 cloud	Web บริการ
1-click pre-auth RCE	$8,000	$4,000	$2,000
Zero-click normal-user-auth RCE	$7,500	$3,900	$1,900
Zero-click normal-user-auth arbitrary file r/w	$6,500	$3,400	$1,700
Zero-click pre-auth RCE (AC:H)	$6,500	$3,400	$1,700
1-click pre-auth RCE (AC:H)	$5,000	$2,500	$1,325
pre-auth SQL injection	$3,800	$1,950	$1,025
1-click normal-user-auth RCE (AC:H)	$2,600	$1,350	$725
pre-auth stored XSS	$2,600	$1,350	$725

ปานกลาง
	ระบบปฏิบัติการ	บริการซอฟต์แวร์และ C2 cloud	Web บริการ
normal-user-auth stored XSS	$1,350	$733	$417
normal-user-auth SQL injection	$1,200	$607	$353
admin-auth vulnerabilities	$100	$100	$100

ตั้งแต่วันที่ 1 ตุลาคม 2024 รางวัลการตรวจสอบช่องโหว่ของผู้ดูแลระบบจะอยู่ที่ 100 ดอลลาร์สหรัฐ
สำหรับไคลเอนต์เดสก์ท็อป หากเวกเตอร์ CVSS พบข้อใดต่อไปนี้ รางวัลจะเป็น 100 ดอลลาร์สหรัฐ:
- AV:L
- AV:A
- AV:N/AC:H

หมายเหตุ:

โปรดทราบว่าแม้จะมีการให้แนวทางสำหรับรางวัล แต่ละรายงานจะได้รับการพิจารณาเป็นรายบุคคลและประเมินอย่างละเอียด การให้คะแนนพิจารณาปัจจัยต่างๆ รวมถึงแต่ไม่จำกัดเพียงขอบเขตที่ระบุไว้ในเกณฑ์การให้รางวัล Synology ขอสงวนสิทธิ์ในการตีความจำนวนเงินรางวัลสุดท้าย
สำหรับปัญหาที่ถูกจัดว่ามีความร้ายแรงต่ำหรือเป็นคำแนะนำ จะรับทราบไว้เท่านั้น

คำถามที่พบบ่อย

ฉันจะรายงานเกี่ยวกับช่องโหว่ได้อย่างไรโปรดส่ง PoC (Proof of Concept) โดยละเอียดและตรวจสอบแน่ใจว่าปัญหาที่รายงานนั้นสามารถทำซ้ำขึ้นมาอีกได้ ใช้การเข้ารหัสด้วยคีย์ PGP ที่ Synology มีให้นี้ เมื่อส่งรายงานบักมาให้เรา และห้ามเปิดเผยข้อมูลที่เกี่ยวข้องแก่บุคคลที่สามใครเป็นผู้รับผิดชอบในการตัดสินว่ารายงานบักของฉันมีสิทธิ์ได้รับเงินรางวัลหรือไม่รายงานบักทั้งหมดจะถูกตรวจสอบและประเมินโดย Synology Security Team ซึ่งประกอบไปด้วยนักวิเคราะห์การรักษาความปลอดภัยระดับสูงของ Synologyจะเกิดอะไรขึ้นตามมาถ้ามีการเปิดเผยบักก่อนที่จะมีการแก้ไขเราพยายามตอบสนองต่อรายงานบักโดยทันทีและพยายามทำการแก้ไขบักภายในช่วงเวลาที่เหมาะสม โปรดแจ้งให้เราทราบล่วงหน้าก่อนที่คุณจะเปิดเผยรายละเอียดของบักต่อสาธารณะ การเปิดเผยบักโดยไม่ได้ปฏิบัติตามข้อกำหนดนี้จะทำให้คุณไม่มีสิทธิ์ได้รับเงินรางวัลการพบช่องโหว่ในซอฟต์แวร์ที่ล้าสมัยแล้ว เช่น Apache หรือ Nginx มีสิทธิ์ได้รับเงินรางวัลหรือไม่โปรดระบุช่องโหว่ในซอฟต์แวร์และอธิบายว่าเหตุใดคุณจึงสันนิษฐานว่าช่องโหว่นั้นเป็นอันตรายในการใช้งานซอฟต์แวร์ รายงานที่ละเว้นข้อมูลประเภทนี้มักไม่มีสิทธิ์ได้รับเงินรางวัลฉันสามารถขอให้ไม่ต้องแสดงรายชื่อของฉันบนหน้าการให้คำแนะนำด้านความปลอดภัยของ Synology ได้หรือไม่ได้ คุณสามารถขอไม่ให้เราเปิดเผยชื่อของคุณบนหน้าการให้คำแนะนำด้านความปลอดภัยของเราได้ อย่างไรก็ตาม หากคุณมีสิทธิ์ได้รับเงินรางวัลและต้องการรับเงินรางวัล เรายังคงต้องการข้อมูลติดต่อของคุณเพื่อดำเนินการจ่ายเงินรางวัลต่อไปหากฉันรายงานเกี่ยวกับช่องโหว่ไปยังโบรกเกอร์ช่องโหว่ ฉันจะยังมีสิทธิ์ได้รับเงินรางวัลหรือไม่การเปิดเผยช่องโหว่ต่อบุคคลที่สามแบบส่วนตัวเพื่อจุดประสงค์อื่นนอกเหนือจากการแก้ไขบักนั้นขัดแย้งต่อเจตจำนงของโครงการของเรา ดังนั้น รายงานดังกล่าวจะไม่มีสิทธิ์ได้รับเงินรางวัลใครจะมีสิทธิ์ได้รับเงินรางวัลหากมีคนหลายคนรายงานบักเดียวกันเราจะมอบเงินรางวัลให้กับคนแรกที่ค้นพบช่องโหว่นั้น ซึ่งเป็นช่องโหว่ที่เราไม่ทราบมาก่อน

การรับทราบ

เราขอขอบคุณผู้วิจัยและฝ่ายต่างๆ ต่อไปนี้ที่ช่วยปรับปรุงความปลอดภัยของผลิตภัณฑ์ Synology:

David Oxley
Abdelali Chekiel
Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
@sunscan@infosec.exchange