Chương trình săn tìm lỗi bảo mật
Khi các mối đe dọa biến đổi và gia tăng cả về tần suất và mức độ phức tạp, Synology sẽ hợp tác với các nhà nghiên cứu bảo mật để duy trì và tăng cường hơn nữa các biện pháp bảo vệ của chúng tôi.
Phạm vi sản phẩmChương trình này chỉ chấp nhận báo cáo lỗ hổng liên quan đến các sản phẩm và dịch vụ web của Synology. Báo cáo về lỗ hổng bảo mật nằm ngoài phạm vi của chương trình thường không đủ điều kiện nhận phần thưởng; tuy nhiên, báo cáo ngoài phạm vi về các lỗ hổng nghiêm trọng có thể được chấp nhận tùy theo tình huống.

Hệ điều hành

Phần thưởng lên tới

30.000 USD

Bao gồm Synology DiskStation Manager, Synology Router Manager, và Synology BeeStation.

Tìm hiểu thêm

Phần mềm và dịch vụ C2 Cloud

Phần thưởng lên tới

10.000 USD

Bao gồm các gói phần mềm do Synology phát triển, các ứng dụng di động có liên quan và các dịch vụ C2 Cloud.

Tìm hiểu thêm

Dịch vụ web

Phần thưởng lên tới

5.000 USD

Bao gồm tất cả các dịch vụ web chính của Synology.

Tìm hiểu thêm
Chi tiết phần thưởng
Tiêu chí điều kiện nhận phần thưởng
Vui lòng cung cấp tất cả thông tin mà chúng tôi cần để tái hiện sự cố được báo cáo. Quy mô của mỗi phần thưởng tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo và danh mục sản phẩm bị ảnh hưởng.Để đáp ứng điều kiện nhận tiền thưởng, báo cáo phải đáp ứng các tiêu chí sau:
  1. Bạn là nhà nghiên cứu đầu tiên báo cáo lỗ hổng này
  2. Lỗ hổng báo cáo được xác nhận là có thể xác minh, có thể tái hiện và là sự cố bảo mật hợp lệ
  3. Báo cáo của bạn tuân thủ các điều khoản và quy định của Chương trình săn tìm lỗi bảo mật
Báo cáo lỗi bảo mậtNếu bạn tin rằng mình đã tìm thấy lỗ hổng bảo mật, hãy làm theo các bước sau:
Bước 1

Liên hệ với chúng tôi bằng cách sử dụng biểu mẫu liên hệ của Chương trình săn tìm có thưởng.

Bước 2

Sử dụng khóa PGP này để mã hóa thông tin của bạn khi gửi báo cáo lỗi đến Synology.

Bước 3

Gửi kèm theo bằng chứng về khái niệm (PoC) chi tiết và đảm bảo rằng sự cố được báo cáo có thể tái hiện.

Bước 4

Mô tả ngắn gọn. Ví dụ: liên kết bằng chứng về khái niệm ngắn được đánh giá cao hơn video giải thích hậu quả của sự cố SSRF.

Trách nhiệm của bạn và của chúng tôiBáo cáo của bạnĐể giảm thời gian xử lý của chúng tôi, báo cáo lỗ hổng bảo mật hiệu quả nên:
  1. Chứa mô tả từng bước rõ ràng bằng tiếng Anh về cách mô phỏng lại lỗ hổng
  2. Trình bày ảnh hưởng của lỗ hổng đến các sản phẩm hoặc dịch vụ web của Synology và mô tả các phiên bản và nền tảng bị ảnh hưởng
  3. Nêu những thiệt hại tiềm ẩn do lỗ hổng được báo cáo gây ra
Phản hồi của chúng tôi
Nhóm bảo mật Synology sẽ phản hồi báo cáo trong vòng 7 ngày và thường xuyên cập nhật trạng thái cũng như khắc phục lỗ hổng càng sớm càng tốt, tùy vào mức độ nghiêm trọng của mối đe dọa.Nếu báo cáo về lỗ hổng bảo mật đủ điều kiện nhận tiền thưởng, bạn sẽ được vinh danh trên trang Tư vấn Bảo mật Sản phẩm Synology trên trang web chính thức của chúng tôi để tri ân.Quy trình này sẽ mất ít nhất 90 ngày. Phần thưởng sẽ được chuyển khoản cho bạn khi hoàn thành quy trình.
Lưu ý:Synology có quyền thay đổi hoặc hủy bỏ chương trình này, bao gồm các chính sách của chương trình, bất kỳ lúc nào mà không cần thông báo trước.
Hệ điều hành
Phần thưởng

Các báo cáo đủ điều kiện sẽ nhận được phần thưởng lên tới 30.000 USD.*

Sản phẩm trong phạm vi

Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận.

DiskStation Manager (DSM)

  • DSM 7 (phiên bản mới nhất)

Synology Router Manager (SRM)

  • SRM 1.3 (phiên bản mới nhất)

Firmware của Synology Camera

  • Firmware 1.1 (bản mới nhất)

Synology BeeStation

  • BeeStation OS 1.0 (phiên bản mới nhất)
Quy định và hạn chế

Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan.

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

  1. Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
  2. Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
  3. Tấn công kỹ thuật hoặc phi kỹ thuật
  4. Tiết lộ thông tin lỗi trước khi Synology phê duyệt
  5. Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
  6. Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
  7. Hầu hết các kiểu tấn công vét cạn
  8. Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
  9. Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
  10. Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
  11. Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
  12. Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
  13. Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
  14. Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
  15. Thiếu cờ bảo mật trong cookie
  16. Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết Phần thưởng trên trang web Chương trình Lỗi Bảo mật để biết thêm chi tiết.
**Phần thưởng tối đa cho các lỗ hổng trong SRM_LAN là $5,000.
***Phần thưởng tối đa cho các lỗ hổng trong firmware camera là $10,000.

Phần mềm và dịch vụ C2 Cloud
Phần thưởng

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 10.000 USD.*

Sản phẩm trong phạm vi

Chỉ những báo cáo về phiên bản phát hành chính thức mới được chấp nhận.

Gói dịch vụ

Gói phần mềm do Synology phát triển

Ứng dụng trên máy tính

Các ứng dụng Windows, macOS và Linux do Synology phát triển

Ứng dụng di động

Ứng dụng di động do Synology phát triển dành cho Android và iOS

Synology Account

  • Tên miền *.account.synology.com
  • Tên miền *.identity.synology.com

Các dịch vụ C2

Tên miền *.c2.synology.com

Quy định và hạn chế

Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan.

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

  1. Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
  2. Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
  3. Tấn công kỹ thuật hoặc phi kỹ thuật
  4. Tiết lộ thông tin lỗi trước khi Synology phê duyệt
  5. Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
  6. Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
  7. Hầu hết các kiểu tấn công vét cạn
  8. Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
  9. Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
  10. Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
  11. Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
  12. Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
  13. Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
  14. Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
  15. Thiếu cờ bảo mật trong cookie
  16. Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết phần thưởng trên trang web Chương trình lỗi bảo mật để biết thêm chi tiết.

Dịch vụ web
Phần thưởng

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 5.000 USD.*

Sản phẩm trong phạm vi

Các tên miền sau (bao gồm cả tên miền phụ) nằm trong phạm vi:

*.synology.com

Các tên miền sau (bao gồm cả tên miền phụ) nằm ngoài phạm vi:

openstack-ci-logs.synology.com, router.synology.com

Synology có quyền sửa đổi danh sách này bất cứ lúc nào mà không cần thông báo trước.

Quy định và hạn chế

Chương trình này giới hạn trong phạm vi lỗ hổng bảo mật phát hiện trên các sản phẩm và dịch vụ của Synology. Chúng tôi nghiêm cấm các hành động có khả năng gây thiệt hại hoặc ảnh hưởng xấu đến máy chủ hoặc dữ liệu của Synology. Quá trình kiểm tra lỗ hổng bảo mật không được vi phạm pháp luật địa phương hoặc Đài Loan.

Chương trình không chấp nhận báo cáo về lỗ hổng bảo mật nếu mô tả hoặc liên quan đến:

  1. Các cuộc tấn công DoS (Từ chối dịch vụ) vào máy chủ của Synology hoặc của người dùng
  2. Quá trình kiểm tra lỗ hổng bảo mật gây bất lợi cho máy chủ hoặc dữ liệu của Synology hoặc người dùng
  3. Tấn công kỹ thuật hoặc phi kỹ thuật
  4. Tiết lộ thông tin lỗi trước khi Synology phê duyệt
  5. Truyền tải thư mục trên https://*archive.synology.com
  6. Tải xuống tập tin phản ánh
  7. Sự cố trích xuất biểu ngữ hoặc tiết lộ phiên bản phần mềm
  8. Lỗ hổng zero-day được tiết lộ trong vòng 90 ngày
  9. Các lỗ hổng không nghiêm trọng trong các dịch vụ hoặc sản phẩm ngưng hỗ trợ
  10. Lỗ hổng chỉ ảnh hưởng đến các trình duyệt web cũ
  11. Hầu hết các kiểu tấn công vét cạn
  12. Các cuộc tấn công XSS phản ánh hoặc các cuộc tấn công Self XSS
  13. Các lỗ hổng liên quan đến lừa đảo, tạo trang web giả mạo hoặc thực hiện hành vi lừa đảo
  14. Báo cáo quét lỗ hổng bảo mật không nêu chi tiết ảnh hưởng của lỗ hổng bảo mật
  15. Dấu hiệu cho thấy các cổng mặc định dễ bị tấn công nhưng không cung cấp PoC
  16. Các lỗ hổng về mặt lý thuyết, thiếu Bằng chứng khái niệm (PoC) cụ thể
  17. Chỉ riêng các chuyển hướng mở thường được coi là cung cấp đầy đủ thông tin và không đủ điều kiện nhận phần thưởng trừ khi góp phần gây ra lỗ hổng nghiêm trọng hơn
  18. Thiếu tiêu đề bảo mật không trực tiếp dẫn đến hành vi lạm dụng
  19. Thiếu cờ bảo mật trong cookie
  20. Liệt kê người dùng. Các báo cáo trình bày về việc liệt kê người dùng không nằm trong phạm vi trừ khi bạn có thể chứng minh rằng chúng tôi chưa áp dụng bất kỳ giới hạn tỷ lệ nào để bảo vệ người dùng của mình.

*Xem trang Chi tiết phần thưởng trên trang web Chương trình lỗi bảo mật để biết thêm chi tiết.

Chi tiết phần thưởng
Trang này được thiết kế để giúp các nhà nghiên cứu hiểu được phần thưởng tiềm năng tối đa đối với các loại lỗ hổng cụ thể và nhấn mạnh các loại lỗ hổng mà Synology đánh giá cao nhất. Chúng tôi đánh giá cao sự đóng góp và nỗ lực nghiên cứu bảo mật xứng đáng nhận phần thưởng.Phần thưởng trong bảng thể hiện số tiền tối đa có thể đạt được cho mỗi danh mục, nhưng không phải mọi báo cáo đủ điều kiện đều được đảm bảo nhận được số tiền được liệt kê.*
Rất nghiêm trọng
Hệ điều hànhPhần mềm và dịch vụ C2 CloudDịch vụ web
Zero-click pre-auth RCE30.000 USD10.000 USD5.000 USD
Zero-click pre-auth arbitrary file r/w9.000 USD4.600 USD2.400 USD
Quan trọng
Hệ điều hànhPhần mềm và dịch vụ C2 CloudDịch vụ web
1-click pre-auth RCE8.000 USD4.000 USD2.000 USD
Zero-click normal-user-auth RCE7.500 USD3.900 USD1.900 USD
Zero-click normal-user-auth arbitrary file r/w6.500 USD3.400 USD1.700 USD
Zero-click pre-auth RCE (AC:H)6.500 USD3.400 USD1.700 USD
1-click pre-auth RCE (AC:H)5.000 USD2.500 USD1.325 USD
pre-auth SQL injection3.800 USD1.950 USD1.025 USD
1-click normal-user-auth RCE (AC:H)2.600 USD1.350 USD725 USD
pre-auth stored XSS2.600 USD1.350 USD725 USD
Vừa phải
Hệ điều hànhPhần mềm và dịch vụ C2 CloudDịch vụ web
normal-user-auth stored XSS1.350 USD733 USD417 USD
normal-user-auth SQL injection1.200 USD607 USD353 USD
admin-auth vulnerabilities100 USD100 USD100 USD

1. Bắt đầu từ ngày 1 tháng 10 năm 2024, phần thưởng cho lỗ hổng bảo mật admin-auth sẽ được đặt ở mức 100 USD.

Lưu ý:

  • Vui lòng lưu ý rằng mặc dù chúng tôi có hướng dẫn về phần thưởng nhưng mỗi báo cáo đều được xử lý riêng và đánh giá kỹ lưỡng. Quá trình chấm điểm xem xét nhiều yếu tố khác nhau, bao gồm nhưng không giới hạn ở phạm vi nêu chi tiết trong phiếu đánh giá phần thưởng. Synology có quyền giải thích cuối cùng về số tiền thưởng.
  • Đối với các vấn đề được xếp loại mức độ nghiêm trọng thấp hoặc đề xuất, chúng tôi sẽ chỉ xác nhận đã nhận được.
Câu hỏi thường gặpTôi nên báo cáo lỗ hổng bảo mật như thế nào?Vui lòng cung cấp PoC (Bằng chứng khái niệm) chi tiết và đảm bảo có thể mô phỏng lại vấn đề được báo cáo. Hãy sử dụng mã hóa khóa PGP này do Synology cung cấp khi gửi báo cáo lỗi cho chúng tôi và không tiết lộ thông tin liên quan cho bất kỳ bên thứ ba nào.Ai chịu trách nhiệm xác định quyết định báo cáo lỗi của tôi có đủ điều kiện nhận thưởng hay không?Tất cả báo cáo lỗi đều được xem xét và đánh giá bởi Nhóm bảo mật Synology, bao gồm các chuyên gia phân tích bảo mật cấp cao của Synology.Nếu lỗi được tiết lộ công khai trước khi sửa thì sẽ có hậu quả gì?Chúng tôi cố gắng phản hồi các báo cáo lỗi kịp thời và sửa lỗi trong khoảng thời gian hợp lý. Vui lòng thông báo trước cho chúng tôi trước khi bạn tiết lộ công khai thông tin về lỗi. Hành vi tiết lộ lỗi mà không tuân theo nguyên tắc này sẽ không đủ điều kiện nhận thưởng.Các lỗ hổng bảo mật được tìm thấy trong phần mềm lỗi thời như Apache hoặc Nginx có đủ tiêu chuẩn để nhận phần thưởng không?Vui lòng xác định các lỗ hổng trong phần mềm và giải thích lý do bạn nghi ngờ lỗ hổng này có hại khi sử dụng phần mềm. Các báo cáo bỏ qua loại thông tin này thường không đủ điều kiện nhận thưởng.Tôi có thể yêu cầu tên không ghi tên của tôi trên trang Tư vấn Bảo mật của Synology không?Có. Bạn có thể yêu cầu không nêu tên trên trang Tư vấn bảo mật của chúng tôi. Tuy nhiên, nếu bạn đủ điều kiện nhận thưởng và muốn nhận phần thưởng đó, chúng tôi vẫn cần thông tin liên hệ của bạn để xử lý thanh toán.Các lỗ hổng bảo mật có còn đủ điều kiện nhận thưởng nếu được báo cáo cho các nhà môi giới lỗ hổng bảo mật không?Tiết lộ riêng lỗ hổng cho bên thứ ba vì các mục đích khác ngoài việc sửa lỗi là trái với tinh thần của chương trình của chúng tôi. Do đó, những báo cáo như vậy sẽ không đủ tiêu chuẩn để nhận thưởng.Ai đủ điều kiện nhận thưởng nếu nhiều người cùng báo cáo một lỗi?Phần thưởng được trao cho người đầu tiên phát hiện ra lỗ hổng mà trước đây chúng tôi chưa biết.
Vinh danhChúng tôi muốn gửi lời khen ngợi đến các nhà nghiên cứu và tổ chức bảo mật đã hỗ trợ chúng tôi.
  • 2024
  • 2023
  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • M Tayyab Iqbal (www.alphainferno.com)
  • Only Hack in Cave (tr4ce(Jinho Ju), neko_hat(Dohwan Kim), tw0n3(Han Lee), Hc0wl(GangMin Kim)) (https://github.com/Team-OHiC)
  • Wonbeen Im, STEALIEN (https://stealien.com)
  • 赵润梓、李建申(https://lsr00ter.github.io)
  • Cheripally Sathwik (https://www.instagram.com/ethical_hacker_sathwik)
  • Steven Lin (https://x.com/5teven1in)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Mohd Ali (revengerali)
  • Orange Tsai (@orange_8361) from DEVCORE Research Team
  • Bocheng Xiang with FDU(@crispr)
  • HANRYEOL PARK, HYOJIN LEE, HYEOKJONG YUN, HYEONJUN LEE, DOWON KWAK, ZIEN (https://zi-en.io/)
  • Hydrobikz (https://www.linkedin.com/in/bikash-)
  • Can Acar (https://imcan.dev)
  • Yves Bieri of Compass Security (https://www.compass-security.com)
  • DEVCORE Research Team (https://devco.re/)
  • aoxsin (https://twitter.com/aoxsin)
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Georg Delp (https://www.linkedin.com/in/georgdelp/)
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)