Seems like there is a more localized page available for your location.
Synology Bee 系列
產品 (依英文字母排序)
安全漏洞回報獎勵計畫
隨著近期資安威脅的出現頻率與嚴重程度不斷攀升,Synology 正與研究人員合作,一同強化我們產品的安全性。
產品範圍本計畫僅接受與 Synology 產品及網站服務相關的安全問題回報。未涵蓋在此計畫範圍的安全問題回報將不給予獎金;然而,我們將視情況接受非本計畫範圍以內,但嚴重性高的安全問題回報。

作業系統

獎金高達

US $30,000

包括 Synology DiskStation Manager 、 Synology Router Manager 以及 Synology BeeStation 。

了解更多

軟體和 C2 雲端服務

獎金高達

US $10,000

範圍包括 Synology 開發的軟體套件、相關行動應用程式和 C2 雲端服務。

了解更多

網站服務範圍

獎金高達

US $5,000

範圍包括所有 Synology 的主要網站服務。

了解更多
獎勵詳情
獎勵資格標準
回報安全問題時,請提供充足資訊以讓我們能夠重現您所回報的問題。獎金金額將視所回報問題之嚴重性及產品類別而定。您必須符合下列所有條件,才有資格獲得獎金:
  1. 您是第一位回報特定安全問題的研究人員。
  2. 您回報的安全問題經確認為可驗證、可重現且符合獎勵資格的問題。
  3. 您遵守本計畫的所有條款和規定。
規定與限制若發現安全問題,請按照以下步驟回報:
步驟 1

透過漏洞回報獎勵計畫聯絡表與我們聯繫。

步驟 2

回報安全漏洞給 Synology 時,請使用這個 PGP 金鑰加密您提供的資訊。

步驟 3

附上詳細的概念性驗證 (Proof of Concept;簡稱 PoC),並確認所回報的安全性問題可被重現。

步驟 4

盡量提供簡潔的資訊;舉例來說,一則簡短的 PoC 連結之資訊價值高於一部解釋 SSRF 問題之影響的影片。

雙方責任您的回報為減少所需的處理時間,良好的安全問題回報應包含下列資訊:
  1. 提供清楚的文字描述,並逐步說明如何重現安全性問題 (需以英文書寫)。
  2. 說明安全問題如何影響 Synology 產品或網站服務,包含其版本與平台。
  3. 說明所回報之安全問題的潛在危害性。
我們的回應
Synology 安全團隊將於 7 天內回覆您,並會依據問題的嚴重性盡快修正問題。您所回報的問題經確認符合獎勵資格後,您的名字將列在本公司官方網站的 Synology 產品安全性諮詢頁面上,以表揚您的貢獻。此流程須至少 90 天,獎金將於流程完成後匯款至您的銀行帳戶。
注意:Synology有權隨時更改或取消此計畫及其政策,恕不另行通知。
作業系統
獎金

合格的安全問題回報將給予高達 $30,000 美元的獎金。*

產品範圍

本計畫僅接受正式版本之產品與服務的安全問題回報。

DiskStation Manager (DSM)

  • DSM 7 (最新版)

Synology Router Manager (SRM)

  • SRM 1.3 (最新版)

Synology 攝影機韌體

  • 韌體 1.1 (最新版本)

Synology BeeStation

  • BeeStation OS 1.0 (最新版)
規定與限制

本計畫僅接受 Synology 產品與服務的安全問題。嚴格禁止任何可能危害 Synology 伺服器或資料的行為。所有安全問題測試皆不得違反任何法律。

以下列出不符合獎勵資格的安全問題:

  1. 對 Synology 或使用者伺服器的 DoS (阻斷服務) 攻擊
  2. 對 Synology 或使用者伺服器或資料有害的安全問題測試
  3. 物理攻擊或社交工程
  4. 在 Synology 核准之前披露安全漏洞資訊
  5. 在過時服務或產品中非高嚴重性的安全問題
  6. 僅影響過時網頁瀏覽器的安全問題
  7. 大多數類型的暴力攻擊
  8. 反射型 XSS 攻擊或 Self XSS 攻擊
  9. 涉及網路釣魚、建立冒牌網站或有詐欺行為的安全問題
  10. 未詳述安全問題影響的安全漏洞掃描報告
  11. 指出預設連接埠易受攻擊,但未提供 PoC
  12. 缺乏具體概念證明(PoC)的理論性漏洞
  13. 僅有的開放重定向通常被視為資訊性質,除非它們有助於更嚴重的漏洞,否則不符合獎勵資格
  14. 缺失的安全標頭,不直接導致利用
  15. 缺失的 Cookie 中的安全標誌
  16. 用戶列舉。除非您能證明我們沒有任何速率限制來保護我們的用戶,否則關於用戶列舉的報告不在範圍內。
*請參閱安全性漏洞計劃網頁上的獎勵詳情頁面以了解詳情。
**SRM_LAN 漏洞的最高獎勵為 $5,000。
***攝影機韌體漏洞的最高獎勵為 $10,000。
軟體和 C2 雲端服務
獎金

合格的安全問題回報將給予高達 $10,000 美元的獎金。*

產品範圍

本計畫僅接受正式版本之產品與服務的安全問題回報。

套件

Synology 開發的軟體套件

桌面用戶端

Synology 開發的 Windows、macOS 和 Linux 應用程式

行動應用程式

Synology 開發的 Android 版和 iOS 版行動應用程式

Synology Account

  • *.account.synology.com 網域
  • *.identity.synology.com 網域

C2 服務

*.c2.synology.com 網域

規定與限制

本計畫僅接受 Synology 產品與服務的安全問題。嚴格禁止任何可能危害 Synology 伺服器或資料的行為。所有安全問題測試皆不得違反任何法律。

以下列出不符合獎勵資格的安全問題:

  1. 對 Synology 或使用者伺服器的 DoS (阻斷服務) 攻擊
  2. 對 Synology 或使用者伺服器或資料有害的安全問題測試
  3. 物理攻擊或社交工程
  4. 在 Synology 核准之前披露安全漏洞資訊
  5. 過時服務或產品中非高嚴重性的安全問題
  6. 僅影響過時網頁瀏覽器的安全問題
  7. 大多數類型的暴力攻擊
  8. 反射型 XSS 攻擊或 Self XSS 攻擊
  9. 涉及網路釣魚、建立虛假網站或實施欺詐的安全問題
  10. 未詳述安全問題影響的安全漏洞掃描報告
  11. 指出預設連接埠易受攻擊,但未提供 PoC
  12. 缺乏具體概念證明(PoC)的理論性漏洞
  13. 僅有的開放重定向通常被視為資訊性質,除非它們有助於更嚴重的漏洞,否則不符合獎勵資格
  14. 缺失的安全標頭,不直接導致利用
  15. 缺失的 Cookie 中的安全標誌
  16. 用戶列舉。除非您能證明我們沒有任何速率限制來保護我們的用戶,否則關於用戶列舉的報告不在範圍內。
*請參閱安全漏洞獎勵計畫網頁上的獎勵詳情頁面以獲取更多資訊。
網站服務範圍
獎金

合格的安全問題回報將給予高達 $5,000 美元的獎金。*

產品範圍

網站服務所涵蓋之網域 (包含子網域) 如下:

*.synology.com

網站服務未涵蓋之網域 (包含子網域) 如下:

openstack-ci-logs.synology.com, router.synology.com

Synology 有權隨時更改這份清單,恕不另行通知。

規定與限制

本計畫僅接受 Synology 產品與服務的安全問題。嚴格禁止任何可能危害 Synology 伺服器或資料的行為。所有安全問題測試皆不得違反任何法律。

網站服務未涵蓋之網域 (包含子網域) 如下:

  1. 對 Synology 或使用者伺服器的 DoS (阻斷服務) 攻擊
  2. 對 Synology 或使用者伺服器或資料有害的安全問題測試
  3. 物理攻擊或社交工程
  4. 在 Synology 核准之前披露安全漏洞資訊
  5. https://*archive.synology.com 的路徑遍歷問題
  6. 反映型檔案下載
  7. 通訊埠掃描結果或軟體版本的顯示
  8. 90 天內公開的零時差攻擊
  9. 過時服務或產品中非高嚴重性的安全問題
  10. 僅影響過時網頁瀏覽器的安全問題
  11. 大多數類型的暴力攻擊
  12. 反射型 XSS 攻擊或 Self XSS 攻擊
  13. 涉及網路釣魚、建立虛假網站或實施欺詐的安全問題
  14. 未詳述安全問題影響的安全漏洞掃描報告
  15. 指出預設連接埠易受攻擊,但未提供 PoC
  16. 缺乏具體概念證明(PoC)的理論性漏洞
  17. 僅有的開放重定向通常被視為資訊性質,除非它們有助於更嚴重的漏洞,否則不符合獎勵資格
  18. 缺失的安全標頭,不直接導致利用
  19. 缺失的 Cookie 中的安全標誌
  20. 用戶列舉。除非您能證明我們沒有任何速率限制來保護我們的用戶,否則關於用戶列舉的報告不在範圍內。
*請參閱安全漏洞獎勵計畫網頁上的獎勵詳情頁面以獲取更多資訊。
獎勵詳情
本頁旨在協助研究人員了解發現潛在安全問題所能獲得的最大獎金報酬,並凸顯 Synology 最重視的安全漏洞類型。我們重視您所做的每一個貢獻,並致力於透過回報獎勵計畫,針對發現系統安全漏洞的研究人員給予獎金報酬。下表提供各問題回報類別可能獲得的最高獎金,但並不是每個符合條件的問題回報都保證能獲得所列金額。*
嚴重 (Critical) 衝擊
作業系統軟體和 C2 雲端服務網站服務範圍
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
重要 (Important) 衝擊
作業系統軟體和 C2 雲端服務網站服務範圍
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
中等 (Moderate) 衝擊
作業系統軟體和 C2 雲端服務網站服務範圍
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. 自 2024 年 10 月 1 日起,admin-auth 漏洞獎勵將設定為 100 美元。
  2. 對於桌面用戶端,如果 CVSS 向量包含以下任何一項,獎勵將設定為 100 美元:
    • AV:L
    • AV:A
    • AV:N/AC:H

注意:

  • 請注意,儘管提供了獎勵資格標準,每一個安全問題回報都會獨立處理並徹底評估。評分時我們會綜合考慮各種因素,包括但不限獎勵資格標準中詳述的範圍。Synology 保有調整獎金之權利,並保留最終解釋權。
  • 當回報的問題被認為對安全性的影響較低或僅被分類為建議時,我們僅會提供公開致謝。
常見問題我該如何回報安全性問題?請提供詳細的概念驗證 (Proof of Concept;簡稱 PoC) 並確認您所回報的安全弱點可被重現;此外,請使用我們提供的 PGP 金鑰加密服務進行回報,且不得將相關資訊透露給任何第三方組織。誰負責決定我所回報的安全弱點是否符合獎勵資格?所有弱點回報皆經由本公司資深軟體開發人員組成的 Synology Security Team 審查及評估。若在安全弱點被修正前就將弱點公開,會有什麼後果呢?我們致力於立即回覆您所回報的安全弱點,並在合理的時間範圍內修正問題。在您公開安全弱點的資訊前,請事先通知我們。若未遵守此準則,您便會喪失獲獎資格。若在過時的軟體如 Apache 或 Nginx 發現安全性問題,我是否能獲得獎金呢?請指出軟體的安全性問題並解釋為何該問題會危害軟體使用。忽略這類資訊的回報通常不會予以獎金。我可以要求不要把名字列在群暉科技的安全性諮詢頁面上嗎?可以。您可以要求不要將您的資訊列在我們的安全性諮詢頁面上。但是,若您符合獲獎資格且有意願領取獎金,我們仍會需要您的連絡資訊,以將獎金匯款給您。若將安全弱點回報給安全性問題組織,是否依然符合獲獎資格呢?若不是以修正問題為目的,卻私下將安全性問題透露給第三方組織,實有違本計畫之精神。因此,這類的回報將不符合獲獎資格。若多位研究人員回報相同的安全弱點,獎金將頒發給誰呢?獎金將發給第一位發現本公司先前未知的安全性問題的研究人員。
致謝特別感謝所有安全性相關的研究人員與組織的協助。
  • David Oxley
  • Abdelali Chekiel