Seems like there is a more localized page available for your location.
Store

Podsumowanie koszyka ()

Łącznie (liczba pozycji: undefined)Cena zawiera VAT undefined%. Wysyłka zostanie obliczona przy kasie.

Kontynuuj zakupy

Seria Bee firmy Synology
Produkty A-Z
Store
Program nagród za odnalezienie błędów w bezpieczeństwie
Wraz z rozwojem i wzrostem częstotliwości oraz stopnia zaawansowania zagrożeń, Synology współpracuje z ekspertami ds. bezpieczeństwa w celu utrzymania i dalszego wzmacniania naszych zabezpieczeń.
Zakres produktuTen program akceptuje tylko raporty o podatnościach związanych z produktami i usługami internetowymi Synology. Raporty o podatnościach, które nie mieszczą się w zakresie programu, zazwyczaj nie kwalifikują się do nagród; jednak raporty o krytycznych podatnościach poza zakresem mogą być akceptowane w zależności od sytuacji.

Systemy operacyjne

Nagrody do

$30 000

Zawiera Synology DiskStation Manager, Synology Router Manager i Synology BeeStation.

Więcej informacji

Oprogramowanie i usługi chmurowe C2

Nagrody do

$10 000

Zawiera pakiety oprogramowania opracowane przez Synology, powiązane aplikacje mobilne i usługi chmurowe C2.

Więcej informacji

Web usługi

Nagrody do

$5 000

Zawiera wszystkie główne usługi internetowe Synology.

Więcej informacji
Szczegóły nagrody
Kryteria kwalifikacji do nagród
Proszę podać wszelkie informacje, które potrzebujemy do odtworzenia zgłoszonych problemów. Wielkość każdej nagrody zależy od powagi zgłoszonej podatności oraz od kategorii produktu, którego dotyczy.Aby kwalifikować się do nagród pieniężnych, raporty muszą spełniać następujące kryteria:
  1. Jesteś pierwszym zgłaszającym tę lukę
  2. Potwierdzono, że zgłoszona luka jest weryfikowalna, replikowalna i stanowi ważny problem bezpieczeństwa
  3. Twój raport jest zgodny z warunkami i przepisami Programu Nagród
Zgłaszanie błędów bezpieczeństwaJeśli uważasz, że znalazłeś podatność, postępuj zgodnie z poniższymi krokami:
Krok 1

Skontaktuj się z nami za pomocą formularza kontaktowego programu Bounty.

Krok 2

Użyj tego klucza PGP do szyfrowania informacji podczas wysyłania raportów o błędach do firmy Synology.

Krok 3

Dołącz szczegółowy dowód koncepcji (PoC) i upewnij się, że zgłoszone problemy można odtworzyć.

Krok 4

Zachowaj zwięzłość opisu. Na przykład krótki link do dowodu konceptu jest bardziej ceniony niż film wyjaśniający konsekwencje problemu SSRF.

Twoje i nasze obowiązkiTwój raportAby skrócić czas przetwarzania, dobry raport o podatności powinien:
  1. Aby skrócić czas weryfikacji, prawidłowy raport o podatności powinien:
  2. Wykazać, w jaki sposób luka w zabezpieczeniach wpływa na produkty lub usługi internetowe firmy Synology, oraz opisać, których wersji i platform dotyczy luka.
  3. Określać potencjalne szkody spowodowane zgłoszoną podatnością
Nasza odpowiedź
Zespół ds. bezpieczeństwa Synology odpowie na zgłoszenie w ciągu 7 dni i będzie regularnie aktualizować status oraz usuwać luki w zabezpieczeniach tak szybko, jak to możliwe, w zależności od stopnia zagrożenia.Jeśli Twój raport o luce w zabezpieczeniach kwalifikuje się do nagrody pieniężnej, Twoje imię i nazwisko zostanie umieszczone na stronie z informacjami dotyczącymi bezpieczeństwa produktów firmy Synology na naszej oficjalnej witrynie internetowej, jako wyraz wdzięczności.Ten proces zajmie co najmniej 90 dni. Twoja nagroda zostanie przekazana po zakończeniu procesu.
Uwagi:Synology zastrzega sobie prawo do zmiany lub anulowania tego programu, w tym jego zasad, w dowolnym momencie bez wcześniejszego powiadomienia.
Systemy operacyjne
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 30 000 USD*.

Produkty wchodzące w zakres oferty

Tylko raporty dotyczące oficjalnie wydanych wersji są akceptowane.

DiskStation Manager (DSM)

  • DSM 7 (najnowsza wersja)

Synology Router Manager (SRM)

  • SRM 1.3 (najnowsza wersja)

Firmware kamery Synology

  • Firmware 1.1 (najnowsza wersja)

Synology BeeStation

  • BeeStation OS 1.0 (najnowsza wersja)
Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub ich użytkowników
  2. Testowanie podatności, które szkodzi serwerom lub danym Synology lub ich użytkowników
  3. Wyłudzania informacji o atakach
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Nieistotne podatności w przestarzałych usługach lub produktach
  6. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  7. Większość typów ataków brutalnej siły
  8. Ataki XSS odzwierciedlone lub ataki XSS samodzielne
  9. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  10. Raporty skanowania podatności, które nie opisują skutków podatności
  11. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  12. Teoretyczne podatności bez konkretnego dowodu koncepcji (PoC)
  13. Otwarte przekierowania są zwykle uważane za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do bardziej znaczącej podatności na ataki
  14. Brakujące nagłówki zabezpieczeń, które nie prowadzą bezpośrednio do nadużyć
  15. Brakujące flagi zabezpieczeń w plikach cookie
  16. Numeracja użytkowników. Raporty dotyczące liczby użytkowników nie są objęte usługą, chyba że można wykazać, że nie mamy żadnych limitów wydajności w celu ochrony naszych użytkowników..
*Więcej informacji można znaleźć w części Szczegóły nagrody na stronie internetowej Security Bug Program.
**Maksymalna nagroda za zgłoszone luki w SRM_LAN wynosi $5,000.
***Maksymalna nagroda za zgłoszone luki w oprogramowaniu układowym kamery wynosi $10,000.
Oprogramowanie i usługi chmurowe C2
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 10 000 USD*.

Produkty wchodzące w zakres oferty

Akceptowane są tylko raporty dotyczące oficjalnie wydanych wersji.

Pakiety

Pakiety oprogramowania opracowane przez Synology

Klienci stacjonarni

Aplikacje Synology opracowane dla systemów Windows, macOS i Linux

Aplikacje mobilne

Aplikacje mobilne Synology opracowane dla Androida i iOS

Konto Synology

  • *.account.synology.com domeny
  • *.identity.synology.com domeny

Usługi C2

*.c2.synology.com domeny

Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub użytkowników
  2. Testowanie podatności, które szkodzi serwerom lub danym Synology lub użytkowników
  3. Ataki fizyczne lub inżynieria społeczna
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Nieistotne podatności w przestarzałych usługach lub produktach
  6. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  7. Większość typów ataków brutalnej siły
  8. Ataki XSS odzwierciedlone lub ataki XSS samodzielne
  9. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  10. Raporty skanowania podatności, które nie opisują skutków podatności
  11. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  12. Teoretyczne podatności bez konkretnego dowodu koncepcji (PoC)
  13. Samotne przekierowania otwarte są zazwyczaj uznawane za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do poważniejszej podatności
  14. Brakujące nagłówki bezpieczeństwa, które nie prowadzą bezpośrednio do wykorzystania
  15. Brakujące flagi bezpieczeństwa w ciasteczkach
  16. Wyliczanie użytkowników. Raporty opisujące wyliczanie użytkowników nie są w zakresie, chyba że możesz wykazać, że nie mamy żadnych limitów szybkości, aby chronić naszych użytkowników.
*Zobacz stronę Szczegóły przyznania nagrody na stronie internetowej Programu Bezpieczeństwa, aby uzyskać więcej informacji.
Web usługi
Nagroda

Zakwalifikowane raporty uprawniają do nagrody w wysokości do 5 000 USD*.

Produkty wchodzące w zakres oferty

Zakres oferty obejmuje następujące domeny (w tym subdomeny):

*.synology.com

Zakres oferty nie obejmuje następujących domen (w tym subdomen):

openstack-ci-logs.synology.com, router.synology.com

Synology zastrzega sobie prawo do modyfikacji tej listy w dowolnym momencie bez powiadomienia.

Regulacje i ograniczenia

Ten program jest ściśle ograniczony do luk w zabezpieczeniach znalezionych w produktach i usługach firmy Synology. Działania, które mogłyby potencjalnie uszkodzić lub negatywnie wpłynąć na serwery lub dane Synology, są surowo zabronione. Testowanie luk w zabezpieczeniach nie może naruszać lokalnych ani tajwańskich przepisów prawa.

Raporty o podatnościach nie są akceptowane w ramach programu, jeśli opisują lub obejmują:

  1. Ataki DoS (Denial of Service) na serwery Synology lub użytkowników
  2. Testowanie podatności, które jest szkodliwe dla serwerów lub danych Synology lub użytkowników
  3. Ataki fizyczne lub inżynieria społeczna
  4. Ujawnienie informacji o błędach przed zatwierdzeniem przez Synology
  5. Przejście przez katalog na https://*archive.synology.com
  6. Odbite pobieranie plików
  7. Problemy z pozyskiwaniem banerów lub ujawnianie wersji oprogramowania
  8. Podatność 0-day ujawniona w ciągu 90 dni
  9. Nieistotne podatności w przestarzałych usługach lub produktach
  10. Podatności dotyczące tylko przestarzałych przeglądarek internetowych
  11. Większość typów ataków siłowych
  12. Odbite ataki XSS lub ataki XSS na własnym użytkowniku
  13. Podatności obejmujące phishing, tworzenie fałszywych stron internetowych lub oszustwa
  14. Raporty skanowania podatności, które nie szczegółowo opisują efektów podatności
  15. Wskazania, że domyślne porty są podatne, ale bez dostarczenia PoC
  16. Teoretyczne podatności bez konkretnego dowodu konceptu (PoC)
  17. Otwarte przekierowania zazwyczaj uważane są za informacyjne i nie kwalifikują się do nagród, chyba że przyczyniają się do poważniejszej podatności
  18. Brakujące nagłówki bezpieczeństwa, które nie prowadzą bezpośrednio do wykorzystania
  19. Brakujące flagi bezpieczeństwa w ciasteczkach
  20. Wyliczanie użytkowników. Raporty opisujące wyliczanie użytkowników nie są w zakresie, chyba że możesz wykazać, że nie mamy żadnych limitów szybkości, aby chronić naszych użytkowników.
*Zobacz stronę Szczegóły przyznania nagrody na stronie internetowej Programu Bezpieczeństwa, aby uzyskać więcej informacji.
Szczegóły nagrody
Ta strona została zaprojektowana, aby pomóc specjalistom w zrozumieniu potencjalnych maksymalnych nagród za określone typy luk w zabezpieczeniach oraz aby podkreślić typy luk, które Synology ceni najbardziej. Cenimy Twój wkład i staramy się sprawiedliwie wynagradzać istotne prace badawcze dotyczące bezpieczeństwa.Nagrody w tabeli pokazują maksymalną możliwą kwotę dla każdej kategorii, ale nie każde kwalifikujące się zgłoszenie gwarantuje otrzymanie wymienionej kwoty*.
Krytyczne
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
Zero-click pre-auth RCE$30,000$10,000$5,000
Zero-click pre-auth arbitrary file r/w$9,000$4,600$2,400
Ważne
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
1-click pre-auth RCE$8,000$4,000$2,000
Zero-click normal-user-auth RCE$7,500$3,900$1,900
Zero-click normal-user-auth arbitrary file r/w$6,500$3,400$1,700
Zero-click pre-auth RCE (AC:H)$6,500$3,400$1,700
1-click pre-auth RCE (AC:H)$5,000$2,500$1,325
pre-auth SQL injection$3,800$1,950$1,025
1-click normal-user-auth RCE (AC:H)$2,600$1,350$725
pre-auth stored XSS$2,600$1,350$725
Umiarkowane
Systemy operacyjneOprogramowanie i usługi chmurowe C2Web usługi
normal-user-auth stored XSS$1,350$733$417
normal-user-auth SQL injection$1,200$607$353
admin-auth vulnerabilities$100$100$100
  1. Od 1 października 2024 nagrody za ataki admin-auth będą ustalone na poziomie 100 USD.
  2. Dla klientów desktopowych, jeśli wektor CVSS zawiera którykolwiek z poniższych, nagroda jest ustalona na 100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Uwagi:

  • Proszę zauważyć, że choć wytyczne dotyczące nagród są dostarczane, każdy raport jest traktowany indywidualnie i dokładnie oceniany. Ocena uwzględnia różne czynniki, w tym między innymi zakres szczegółowo opisany w rubryce nagród. Synology zastrzega sobie prawo do ostatecznej interpretacji kwot nagród.
  • W przypadku kwestii sklasyfikowanych jako mało istotne lub jako sugestie, dostarczone zostaną jedynie podziękowania.
Często zadawane pytaniaJak zgłosić lukę w zabezpieczeniach?Prosimy o dostarczenie szczegółowego PoC (Proof of Concept) i upewnienie się, że zgłoszone problemy można powielać. Podczas wysyłania do nas raportów o błędach należy korzystać z szyfrowania kluczem PGP oferowanym przez Synology i nie ujawniać istotnych informacji osobom trzecim.Kto jest odpowiedzialny za ustalenie, czy moje zgłoszenie jest kwalifikowalne do nagrody?Wszystkie raporty o błędach są sprawdzane i oceniane przez Zespół Bezpieczeństwa Synology, który składa się ze specjalistów ds. bezpieczeństwa Synology.Jakie są konsekwencje publicznego ujawnienia problemu przed jego naprawieniem?Dokładamy starań, aby szybko odpowiadać na raporty o błędach i naprawiać je w rozsądnym czasie. Prosimy o powiadomienie nas z wyprzedzeniem przed publicznym ujawnieniem informacji o błędzie. Jakiekolwiek ujawnienie błędu bez przestrzegania tej zasady nie będzie kwalifikować się do nagrody.Czy luki znalezione w przestarzałym oprogramowaniu, takim jak Apache lub Nginx, kwalifikują się do nagrody?Zidentyfikuj luki w oprogramowaniu i wyjaśnij, dlaczego podejrzewasz, że są one niekorzystne dla korzystania z oprogramowania. Zgłoszenia pomijające tego typu informacje zazwyczaj nie kwalifikują się do nagrody.Czy mogę poprosić o niewymienianie mojego imienia i nazwiska na stronie porad dotyczących bezpieczeństwa firmy Synology?Tak, możesz poprosić o nieumieszczanie Cię na naszej stronie z poradami dotyczącymi bezpieczeństwa. Jeśli jednak kwalifikujesz się do nagrody i chcesz ją przyjąć, nadal będziemy potrzebować Twoich danych kontaktowych, aby przetworzyć płatność.Czy luki w zabezpieczeniach nadal kwalifikują się do nagrody, jeśli zostaną zgłoszone brokerom ds. luk w zabezpieczeniach?Prywatne ujawnianie błędów stronom trzecim w celach innych niż ich naprawa jest niezgodne z naszym regulaminem. W związku z tym takie zgłoszenia nie będą kwalifikowane do nagrody.Kto kwalifikuje się do nagrody, jeśli ten sam błąd zostanie zgłoszony przez więcej niż jedną osobę?Nagroda przyznawana jest pierwszej osobie, która odkryje nieznaną wcześniej usterkę.
PodziękowaniaChcemy podziękować badaczom i organizacjom, które pomogły nam w kwestiach bezpieczeństwa.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange
  • Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/