Seems like there is a more localized page available for your location.
Synology의 Bee 시리즈
제품에 관한 모든 정보
보안 버그 바운티 프로그램
위협이 진화하고 빈도와 정교함이 증가함에 따라 Synology는 보안 연구원과 협력하여 보호 기능을 유지하고 강화합니다.
제품 범위이 프로그램은 Synology의 제품 및 웹 서비스와 관련된 취약점 보고만을 받아들입니다. 프로그램의 범위를 벗어난 취약점 보고는 일반적으로 보상 대상이 되지 않지만, 상황에 따라 중요한 취약점의 범위를 벗어난 보고가 받아들여질 수 있습니다.

운영 체제

최대 보상

30000

Synology DiskStation Manager, Synology Router Manager, 및 Synology BeeStation을 포함합니다.

자세한 정보

소프트웨어 및 C2 클라우드 서비스

최대 보상

10000

Synology에서 개발한 소프트웨어 패키지, 관련 모바일 앱, 및 C2 클라우드 서비스를 포함합니다.

자세한 정보

Web 서비스

최대 보상

5000

모든 주요 Synology 웹 서비스를 포함합니다.

자세한 정보
보상 세부사항
보상 자격 기준
보고된 문제를 재현할 수 있는 모든 정보를 제공하십시오. 각 보상의 크기는 보고된 취약점의 심각성과 영향을 받는 제품 범주에 따라 달라집니다.보상을 받기 위한 요건은 다음과 같습니다:
  1. 이 취약점을 보고한 첫 번째 연구자입니다
  2. 보고된 취약점이 검증 가능하고, 재현 가능하며, 유효한 보안 문제로 확인됩니다
  3. 귀하의 보고서가 현상금 프로그램의 약관 및 규정을 준수합니다
보안 버그 보고취약점을 발견한 것으로 생각되면 아래 단계를 따르십시오:
단계 1

바운티 프로그램 문의 양식 을 사용하여 당사에 문의하십시오.

단계 2

버그 보고서를 Synology에 전송할 때 이 PGP 키 를 사용하여 정보를 암호화합니다.

단계 3

취약점이 재현 가능하다는 것을 확인하고, 자세한 개념 증명(PoC)을 포함하십시오.

단계 4

설명을 간결하게 유지하십시오. 예를 들어, 간단한 개념 증명 링크는 SSRF 문제의 결과를 설명하는 비디오보다 더 높게 평가됩니다.

귀하와 우리의 책임귀하의 보고서좋은 취약점 보고서는 다음을 포함해야 합니다:
  1. 영어로 취약점을 재현하는 방법에 대한 명확하게 작성된 단계별 설명을 포함합니다
  2. 취약점이 Synology 제품 또는 웹 서비스에 어떻게 영향을 미치는지 보여주고, 영향을 받는 버전 및 플랫폼을 설명합니다
  3. 보고된 취약점으로 인해 발생할 수 있는 잠재적 피해를 설명합니다
우리의 응답
Synology 보안 팀은 귀하의 보고서에 대해 7일 이내에 응답하고 위협의 심각성에 따라 가능한 한 빨리 상태를 정기적으로 업데이트하고 취약점을 수정합니다.사용자의 취약점 보고서가 금전적 보상에 해당되는 경우, 감사의 표시로 사용자의 이름이 Synology 공식 웹사이트의 Synology 제품 보안 주의보 페이지에 나열됩니다.이 과정은 최소 90일이 소요됩니다. 과정이 완료되면 보상이 지급됩니다.
참고:Synology는 언제든지 사전 통지 없이 이 프로그램 및 정책을 변경하거나 취소할 권리를 보유합니다.
운영 체제
보상

자격 있는 보고서는 최대 US$30,000의 보상을 받을 수 있습니다.*

범위 내 제품

공식적으로 출시된 버전에 대한 보고서만 받습니다.

DiskStation Manager (DSM)

  • DSM 7(최신 버전)

Synology 라우터 관리자(SRM)

  • SRM 1.3(최신 버전)

Synology 카메라 펌웨어

  • 펌웨어 1.1(최신 버전)

Synology BeeStation

  • BeeStation OS 1.0 (최신 버전)
규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼치거나 해를 끼칠 수 있는 행동은 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다.

프로그램에 따라 취약점 보고서는 다음을 설명하거나 포함하는 경우 받아들여지지 않습니다:

  1. Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
  2. Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트
  3. 물리적 공격 또는 소셜 엔지니어링
  4. Synology의 승인 전 버그 정보 공개
  5. 구식 서비스나 제품의 비중요 취약점
  6. 구식 웹 브라우저에만 영향을 미치는 취약점
  7. 대부분의 무차별 대입 공격
  8. 반사형 XSS 공격 또는 자가 XSS 공격
  9. 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
  10. 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
  11. 기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음
  12. 구체적인 개념 증명(PoC)이 없는 이론적 취약점
  13. 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션
  14. 직접적인 악용으로 이어지지 않는 누락된 보안 헤더
  15. 쿠키의 누락된 보안 플래그
  16. 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.
*보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.
**SRM_LAN의 취약점에 대한 최대 보상은 $5,000입니다.
***카메라 펌웨어의 취약점에 대한 최대 보상은 $10,000입니다.
소프트웨어 및 C2 클라우드 서비스
보상

최대 US$10,000의 보상이 가능한 자격 있는 보고서.

범위 내 제품

공식적으로 출시된 버전에 대한 보고서만 허용됩니다.

패키지

Synology에서 개발한 소프트웨어 패키지

데스크톱 클라이언트

Synology에서 개발한 Windows, macOS, Linux 애플리케이션

모바일 앱

Synology에서 개발한 Android 및 iOS용 모바일 앱

Synology 계정

  • *.account.synology.com 도메인
  • *.identity.synology.com 도메인

C2 서비스

*.c2.synology.com 도메인

규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에만 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적으로 해를 끼칠 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 또는 대만 법률을 위반해서는 안 됩니다.

프로그램에 따라 취약점 보고서는 설명하거나 포함하는 경우에는 허용되지 않습니다:

  1. Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
  2. Synology 또는 사용자의 서버 또는 데이터에 해를 끼치는 취약점 테스트
  3. 물리적 공격 또는 소셜 엔지니어링
  4. Synology의 승인 전 버그 정보 공개
  5. 구식 서비스나 제품의 비중요 취약점
  6. 구식 웹 브라우저에만 영향을 미치는 취약점
  7. 대부분의 무차별 대입 공격
  8. 반사형 XSS 공격 또는 자가 XSS 공격
  9. 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
  10. 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
  11. 기본 포트가 취약하다는 징후, 단 PoC를 제공하지 않음
  12. 구체적인 개념 증명(PoC)이 없는 이론적 취약점
  13. 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 아닌 오픈 리디렉션
  14. 직접적인 악용으로 이어지지 않는 누락된 보안 헤더
  15. 쿠키의 누락된 보안 플래그
  16. 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 속도 제한이 없음을 입증할 수 있을 때만 범위 내에 있습니다.
*자세한 내용은 보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.
Web 서비스
보상

최대 US$5,000의 보상이 가능한 자격 있는 보고서.

범위 내 제품

다음 도메인(서브 도메인 포함)이 범위 내에 있습니다:

*.synology.com

다음 도메인(서브 도메인 포함)은 범위에 포함되지 않습니다:

openstack-ci-logs.synology.com, router.synology.com

Synology는 언제든지 이 목록을 수정할 권리를 보유합니다.

규정 및 제한

이 프로그램은 Synology 제품 및 서비스에서 발견된 보안 취약점에 엄격히 제한됩니다. Synology 서버나 데이터에 잠재적인 피해를 줄 수 있는 행위는 엄격히 금지됩니다. 취약점 테스트는 현지 법률 또는 대만 법률을 위반해서는 안 됩니다.

취약점 보고서는 다음을 설명하거나 포함하는 경우 프로그램에서 허용되지 않습니다.

  1. Synology 또는 사용자의 서버에 대한 DoS(서비스 거부) 공격
  2. Synology 또는 사용자의 서버나 데이터에 해를 끼치는 취약점 테스트
  3. 물리적 공격 또는 사회 공학
  4. Synology의 승인 전 버그 정보 공개
  5. https://*archive.synology.com에서의 디렉토리 트래버설
  6. 반사된 파일 다운로드
  7. 배너 그래빙 문제 또는 소프트웨어 버전 공개
  8. 90일 이내에 공개된 0-day 취약점
  9. 구식 서비스나 제품의 비중요 취약점
  10. 구식 웹 브라우저에만 영향을 미치는 취약점
  11. 대부분의 무차별 대입 공격 유형
  12. 반사 XSS 공격 또는 자체 XSS 공격
  13. 피싱, 가짜 웹사이트 생성 또는 사기 행위를 포함하는 취약점
  14. 취약점의 영향을 자세히 설명하지 않는 취약점 스캔 보고서
  15. 기본 포트가 취약하다는 표시이지만 PoC를 제공하지 않는 경우
  16. 구체적인 개념 증명(PoC)이 없는 이론적 취약점
  17. 단독으로는 일반적으로 정보적으로 간주되며 더 중요한 취약점에 기여하지 않는 한 보상 대상이 되지 않는 오픈 리디렉션
  18. 직접적인 악용으로 이어지지 않는 누락된 보안 헤더
  19. 쿠키의 누락된 보안 플래그
  20. 사용자 열거. 사용자 열거를 설명하는 보고서는 우리가 사용자를 보호하기 위한 비율 제한이 없음을 입증할 수 있을 때만 범위에 포함됩니다.
*자세한 내용은 보안 버그 프로그램 웹 페이지의 보상 세부 정보 페이지를 참조하십시오.
보상 세부사항
이 페이지는 연구자들이 특정 유형의 취약점에 대한 잠재적 최대 보상을 이해하고 Synology가 가장 중요하게 생각하는 취약점 유형을 강조하는 데 도움이 되도록 설계되었습니다. 우리는 여러분의 기여를 소중히 여기며 중요한 보안 연구에 대해 공정하게 보상하는 데 전념하고 있습니다.표에 나타난 보상은 각 카테고리에 대한 최대 가능 금액을 보여주지만, 모든 자격을 갖춘 보고서가 나열된 금액을 받는 것은 보장되지 않습니다.*
중대한 취약점
운영 체제소프트웨어 및 C2 클라우드 서비스Web 서비스
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
중요한 취약점
운영 체제소프트웨어 및 C2 클라우드 서비스Web 서비스
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
보통한 취약점
운영 체제소프트웨어 및 C2 클라우드 서비스Web 서비스
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. 2024년 10월 1일부터 admin-auth 취약점 보상은 $100 USD로 설정됩니다.
  2. 데스크톱 클라이언트의 경우, CVSS 벡터에 다음 중 하나가 포함되면 보상은 $100 USD로 설정됩니다:
    • AV:L
    • AV:A
    • AV:N/AC:H

참고:

  • 보상 지침이 제공되지만, 각 보고서는 개별적으로 처리되며 철저히 평가됩니다. 점수는 보상 루브릭에 자세히 설명된 범위를 포함하여 다양한 요소를 고려합니다. Synology는 보상 금액의 최종 해석권을 보유합니다.
  • 낮은 심각도로 분류된 문제나 제안에 대해서는 인정만 제공됩니다.
FAQ취약점을 어떻게 보고해야 합니까?상세 PoC(개념 증명)를 제공하고 보고된 문제가 재현되는지 확인하십시오. 당사에 버그 보고서를 보낼 때 Synology가 제공하는 이 PGP 키 암호화 를 사용하고 관련 정보를 제3자에게 공개하지 마십시오.내 버그 제보가 보상 받을 자격이 있는지를 결정하는 책임자는 누구입니까?모든 버그 신고는 Synology의 시니어 보안 분석가로 구성된 Synology 보안 팀에서 검토하고 평가합니다.버그가 수정되기 전에 공적으로 공개되면 어떤 결과가 발생합니까?저희는 버그 제보에 대해 신속하게 대응하고 적절한 기간 내에 수정하도록 노력하고 있습니다. 버그 정보를 공개하기 전에 미리 알려주시기 바랍니다. 해당 원칙을 지키지 못한 버그 신고는 해당할 보상을 받을 수 없습니다.Apache나 Nginx와 같은 오래되는 소프트웨어에서 발견된 취약점도 보상 자격이 있습니까?소프트웨어의 취약성을 파악하고 소프트웨어 사용에 해롭다고 의심되는 이유를 설명하십시오. 해당 정보를 누락한 제보는 바운티를 받을 수 없습니다.Synology의 보안 자문 페이지에 내 이름이 나열되지 않도록 요청할 수 있습니까?네. 보안 주의보 페이지에 이름이 나열되지 않도록 요청할 수 있습니다. 그러나 보상 자격이 있고 수락하려는 경우, 입금 절차를 처리하기 위해 연락처 정보가 필요합니다.취약점 중개인에게 보고된 취약점도 보상 자격에 해당됩니까?버그 수정 이외의 목적으로 제3자에게 취약점을 사적으로 공개하는 것은 바운티 프로그램의 의미를 위배합니다. 따라서 이러한 제보는 보상 자격에 해당되지 않습니다.동일한 버그를 여러 사람이 보고한 경우 보상 자격이 누구에게 있습니까?보상은 Synology에게 알려지지 않은 취약점을 처음 발견한 사람에게 부여됩니다.
감사의 말우리는 보안 연구원과 우리를 도와준 조직에게 감사를 전하고자 합니다.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange
  • Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/