Chương trình Săn lỗi Bảo mật

Khi các mối đe dọa biến đổi và gia tăng cả về tần suất và mức độ phức tạp, Synology sẽ hợp tác với các nhà nghiên cứu bảo mật để duy trì và tăng cường hơn nữa các biện pháp bảo vệ của chúng tôi.

Chương trình Săn lỗi Bảo mật của Synology trao tặng danh hiệu và phần thưởng bằng tiền cho các nhà nghiên cứu xác định được các lỗ hổng tiềm ẩn và hợp tác với chúng tôi để đảm bảo sự an toàn cho khách hàng.

Phạm vi sản phẩm

Chương trình này chỉ chấp nhận báo cáo lỗ hổng liên quan đến các sản phẩm và dịch vụ web của Synology. Các báo cáo về lỗ hổng bảo mật nằm ngoài phạm vi của chương trình thường không đủ điều kiện nhận phần thưởng; tuy nhiên, báo cáo ngoài phạm vi về các lỗ hổng nghiêm trọng có thể được chấp nhận tùy theo tình huống.

Hệ điều hành

Giải thưởng lên đến 30,000 USD

Giải thưởng lên đến 30,000 USD

Bao gồm Synology DiskStation Manager và Synology Router Manager.

Phần mềm và dịch vụ đám mây C2

Giải thưởng lên đến 10,000 USD

Giải thưởng lên đến 10,000 USD

Bao gồm các gói phần mềm do Synology phát triển, các ứng dụng di động có liên quan và các dịch vụ đám mây C2.

Dịch vụ web

Giải thưởng lên đến 5,000 USD

Giải thưởng lên đến 5,000 USD

Bao gồm tất cả các dịch vụ web chính của Synology.

Operating systems

Reward

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 30.000 USD.*

Products within scope

Only reports about officially released versions are accepted.

DiskStation Manager (DSM)

  • DSM 6 (latest version), DSM 7 (latest version)
  • Packages installed by default

Synology Router Manager (SRM)

  • SRM 1.3 (latest version)
  • Packages installed by default

Firmware của Synology Camera

  • Firmware 1.3 (bản mới nhất)
Regulations and restrictions

This program is strictly limited to security vulnerabilities found in Synology products and services. Actions that could potentially damage or detrimentally affect Synology servers or data are strictly forbidden. Vulnerability testing must not breach local or Taiwanese laws.

Vulnerability reports are not accepted under the program if they describe or involve:

  1. DoS (Denial of Service) attacks on Synology’s or users' servers
  2. Vulnerability testing that is detrimental to Synology’s or users’ servers or data
  3. Physical attacks or social engineering
  4. Disclosure of bug information before approval by Synology
  5. Non-critical vulnerabilities in outdated services or products
  6. Vulnerabilities affecting only outdated web browsers
  7. Most types of brute-force attack
  8. Reflected XSS attacks or Self XSS attacks
  9. Vulnerabilities that involve phishing, creation of fake websites, or committing fraud
  10. Vulnerability scanning reports that do not detail the vulnerability’s effects
  11. Indications that default ports are vulnerable, but without providing a PoC

*Các bản báo cáo về firmware của camera, SRM LAN và XSS lưu trữ lần lượt đủ điều kiện nhận phần thưởng lên tới 10.000 USD, 5.000 USD và 2.600 USD.

Software and C2 cloud services

Reward

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 10.000 USD.*

Products within scope

Only reports about officially released versions are accepted.

Packages

Synology-developed software packages

Desktop clients

Synology-developed Windows, macOS, and Linux applications

Mobile apps

Synology-developed mobile apps for Android and iOS

Synology Account

  • *.account.synology.com domains
  • *.identity.synology.com domains

C2 services

*.c2.synology.com domains

Regulations and restrictions

This program is strictly limited to security vulnerabilities found in Synology products and services. Actions that could potentially damage or detrimentally affect Synology servers or data are strictly forbidden. Vulnerability testing must not breach local or Taiwanese laws.

Vulnerability reports are not accepted under the program if they describe or involve:

  1. DoS (Denial of Service) attacks on Synology’s or users' servers
  2. Vulnerability testing that is detrimental to Synology’s or users’ servers or data
  3. Physical attacks or social engineering
  4. Disclosure of bug information before approval by Synology
  5. Non-critical vulnerabilities in outdated services or products
  6. Vulnerabilities affecting only outdated web browsers
  7. Most types of brute-force attack
  8. Reflected XSS attacks or Self XSS attacks
  9. Vulnerabilities that involve phishing, creation of fake websites, or committing fraud
  10. Vulnerability scanning reports that do not detail the vulnerability’s effects
  11. Indications that default ports are vulnerable, but without providing a PoC

*Các bản báo cáo về ứng dụng trên máy tính XSS lưu trữ lần lượt đủ điều kiện nhận phần thưởng lên tới 5.000 USD và 1.350 USD.

Web services

Reward

Các bản báo cáo chất lượng đủ điều kiện nhận phần thưởng lên tới 5.000 USD.*

Products within scope

The following domains (including sub-domains) are in scope:

*.synology.com

The following domains (including sub-domains) are out of scope:

openstack-ci-logs.synology.com, router.synology.com, order.synology.com

Synology reserves the right to modify this list at any time without notice.

Regulations and restrictions

This program is strictly limited to security vulnerabilities found in Synology products and services. Actions that could potentially damage or detrimentally affect Synology servers or data are strictly forbidden. Vulnerability testing must not breach local or Taiwanese laws.

Vulnerability reports are not accepted under the program if they describe or involve:

  1. DoS (Denial of Service) attacks on Synology’s or users' servers
  2. Vulnerability testing that is detrimental to Synology’s or users’ servers or data
  3. Physical attacks or social engineering
  4. Disclosure of bug information before approval by Synology
  5. Directory traversal on https://*archive.synology.com
  6. Reflected file download
  7. Banner grabbing issues or software version disclosure
  8. 0-day vulnerability disclosed within 90 days
  9. Non-critical vulnerabilities in outdated services or products
  10. Vulnerabilities affecting only outdated web browsers
  11. Most types of brute-force attack
  12. Reflected XSS attacks or Self XSS attacks
  13. Vulnerabilities that involve phishing, creation of fake websites, or committing fraud
  14. Vulnerability scanning reports that do not detail the vulnerability’s effects
  15. Indications that default ports are vulnerable, but without providing a PoC

*Các bản báo cáo về XSS lưu trữ đủ điều kiện nhận phần thưởng lên tới 725 USD.

Tiêu chí nhận thưởng

Vui lòng cung cấp tất cả thông tin mà chúng tôi cần để tái hiện sự cố được báo cáo. Quy mô của mỗi phần thưởng tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo và danh mục sản phẩm bị ảnh hưởng.

Để đáp ứng điều kiện nhận phần thưởng bằng tiền, báo cáo phải đáp ứng các tiêu chí sau:

  1. Bạn là nhà nghiên cứu đầu tiên báo cáo lỗ hổng này
  2. Lỗ hổng báo cáo được xác nhận là có thể xác minh, có thể tái hiện và là sự cố bảo mật hợp lệ
  3. Báo cáo của bạn tuân thủ các điều khoản và quy định của Chương trình Săn lỗi Bảo mật

Báo cáo lỗi bảo mật

Nếu bạn tin rằng mình đã tìm thấy lỗ hổng bảo mật, hãy làm theo các bước sau:

Bước 1

Liên hệ với chúng tôi qua Biểu mẫu Liên hệ Chương trình.

Bước 2

Sử dụng PGP key này để mã hóa thông tin của bạn khi gửi báo cáo lỗi đến Synology.

Bước 3

Gửi kèm theo bằng chứng về khái niệm (PoC) chi tiết và đảm bảo rằng sự cố được báo cáo có thể tái hiện.

Bước 4

Mô tả ngắn gọn. Lấy ví dụ, một liên kết bằng chứng về khái niệm ngắn được đánh giá cao hơn video giải thích hậu quả của sự cố SSRF.

Trách nhiệm của bạn và chúng tôi

Báo cáo của bạn

Để giảm thiểu thời gian xử lý, một báo cáo lỗ hổng bảo mật hiệu quả nên:

  1. Chứa phần mô tả từng bước được viết rõ ràng bằng tiếng Anh về cách tái hiện lỗ hổng bảo mật
  2. Trình bày ảnh hưởng của lỗ hổng đến các sản phẩm hoặc dịch vụ web của Synology và mô tả các phiên bản và nền tảng bị ảnh hưởng
  3. Nêu những thiệt hại tiềm ẩn do lỗ hổng được báo cáo gây ra

Phản hồi của chúng tôi

Nhóm bảo mật của Synology sẽ phản hồi báo cáo của bạn trong vòng 7 ngày và khắc phục lỗ hổng bảo mật càng sớm càng tốt, tùy thuộc vào mức độ nghiêm trọng của mối đe dọa gây ra.

Nếu báo cáo lỗ hổng bảo mật đủ điều kiện nhận thưởng bằng tiền, tên của bạn sẽ được nhắc đến tại trang Tư vấn Bảo mật Sản phẩm Synology chính thức nhằm thể hiện sự biết ơn của chúng tôi cho những đóng góp của bạn.

Quy trình này sẽ mất ít nhất 90 ngày. Phần thưởng sẽ được chuyển khoản cho bạn khi hoàn thành quy trình.

Lưu ý:

  1. Synology có quyền thay đổi hoặc hủy bỏ chương trình này, bao gồm các chính sách của chương trình, bất kỳ lúc nào mà không cần thông báo trước.

Câu hỏi thường gặp

Làm thế nào để báo cáo lỗ hổng bảo mật?

Ai chịu trách nhiệm xác định báo cáo lỗi của tôi có đủ điều kiện nhận thưởng hay không?

Nếu lỗi được tiết lộ công khai trước khi sửa thì sẽ có hậu quả gì?

Các lỗ hổng bảo mật được tìm thấy trong phần mềm cũ như Apache hoặc Nginx có đủ tiêu chuẩn để nhận phần thưởng không?

Tôi có thể yêu cầu không ghi tên tôi trên trang Tư vấn Bảo mật của Synology không?

Các lỗ hổng bảo mật có còn đủ điều kiện nhận thưởng nếu được báo cáo cho các nhà môi giới lỗ hổng bảo mật không?

Nếu cùng một lỗi được báo cáo bởi nhiều người thì ai đủ điều kiện nhận tiền thưởng?

Acknowledgement

Chúng tôi xin vinh danh những nhà nghiên cứu bảo mật và các tổ chức đã giúp đỡ chúng tôi.

  • Khoadha from VCSLab of Viettel Cyber Security ( https://viettelcybersecurity.com/)
  • Tim Coen (https://security-consulting.icu/)
  • Mykola Grymalyuk from RIPEDA Consulting
  • Zhao Runzi (赵润梓)
  • Andrea Maugeri (https://www.linkedin.com/in/andreamaugeri)
  • Offensive Security Research @ Ronin (https://ronin.ae/)
  • Nathan (Yama) https://DontClickThis.run
  • Endure Secure (https://endsec.au)
  • Stephen Argent (https://www.runby.coffee/)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at QI-ANXIN Group
  • Jan Kopřiva of Nettles Consulting (https://www.nettles.cz/security/)
  • Andrej Zaujec (https://www.linkedin.com/in/andrej-zaujec-24ba07158/)
  • chumen77 from WeBin Lab of DbappSecurity Co.,Ltd.
  • Bruce Chen (https://twitter.com/bruce30262)
  • aoxsin (https://twitter.com/aoxsin)
  • Armanul Miraz
  • Jaehoon Jang, STEALIEN (https://stealien.com)
  • Jangwoo Choi, HYEONJUN LEE, SoYeon Kim, TaeWan Ha, DoHwan Kim (https://zrr.kr/SWND)
  • Jaehoon Jang, Wonbeen Im, STEALIEN (https://stealien.com)
  • Tomer Goldschmidt and Sharon Brizinov of Claroty Research - Team82
  • Vo Van Thong of GE Security (VNG) (https://www.linkedin.com/in/thongvv3/)
  • Hussain Adnan Hashim (https://www.linkedin.com/in/hussain0x3c)
  • TEAM.ENVY (https://team-envy.gitbook.io/team.envy/about-us)
  • Tim Coen (https://security-consulting.icu)
  • TEAM TGLS (Best of the Best 12th) (https://zrr.kr/SWND)
  • Zhao Runzi (赵润梓)
  • Kevin Wang (https://twitter.com/kevingwn_ )
  • Shubham Kushwaha/ meenakshi Maurya (https://github.com/anabelle666)
  • Safwat Refaat (@Caesar302)
  • Jeffrey Baker (www.Biznet.net)
  • Monisha N (https://www.linkedin.com/in/monisha-nagaraj-321524218/)
  • Ravi (https://twitter.com/itsrvsinghh)
  • remonsec (https://twitter.com/remonsec)
  • TheLabda (https://thelabda.com)
  • Grant Kellie (https://www.linkedin.com/in/grant-kellie-54a23b238/)
  • pulla karthik srivastav (https://www.linkedin.com/in/karthik-srivastav-680359192)
  • Muhammad Tanvir Ahmed https://www.facebook.com/tohidulislam.tanvir.948
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Laurent Sibilla (https://www.linkedin.com/in/lsibilla/)
  • Thomas Werschlein (https://www.linkedin.com/in/thomas-werschlein-2293384b)
  • Sivanesh kumar (https://twitter.com/sivanesh_hacker)
  • Davis Chang. (https://www.linkedin.com/in/hong-tsun-davis-chang/)
  • @aoxsin (https://twitter.com/aoxsin)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Hasibul Hasan Shawon (@Saiyan0x01)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Zain Iqbal (https://www.linkedin.com/in/zain-iqbal-971b76254/)
  • Lukas Kupczyk, CrowdStrike Intelligence
  • Tomasz Szczechura (https://www.linkedin.com/in/tomasz-szczechura-5189098b/)
  • Zhao Runzi (赵润梓)
  • Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
  • Patrik Fabian (https://websafe.hu)
  • Eugene Lim, Government Technology Agency of Singapore (https://spaceraccoon.dev)
  • Jeenika Anadani (https://twitter.com/j33n1k4)
  • waterpeitw (https://zeroday.hitcon.org/user/waterpeitw)
  • Milan katwal (https://www.milankatwal.com.np/)
  • N S R de Rooy (https://www.linkedin.com/in/norbert-de-rooy-9b24527/)
  • Christian Tucci (https://www.linkedin.com/in/christian-tucci/)
  • Ravindra Dagale (https://www.linkedin.com/in/ravindra-dagale-5b0913151/)
  • Sanket Anil Ambalkar (https://www.linkedin.com/in/sanket-ambalkar-70211518b/)
  • Chirag Agrawal (https://www.linkedin.com/in/chirag-agrawal-770488144/)
  • Yimi Hu@baidu.com
  • Raman R Mohurle (https://twitter.com/Raman_Mohurle)
  • cmj (http://blog.cmj.tw/)
  • Parth Manek
  • Patrick Williams (https://www.linkedin.com/in/patrick-williams-6992b4104/)
  • Amaranath Moger (https://www.linkedin.com/in/amaranath-moger/)
  • Dennis Herrmann (Code White GmbH)
  • Siddharth Parashar (https://www.linkedin.com/in/siddharth-parashar-b2a21b1b5/)
  • Sahil Soni (https://twitter.com/sahil__soni_18?s=08)
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • Devender Rao (https://www.linkedin.com/in/devender-rao)
  • RAJIB BAR (https://www.linkedin.com/in/rajib-bar-rjb-b3683314b)
  • Atharv Shejwal (https://kongsec.io)
  • Xavier DANEST (https://sustainability.decathlon.com/)
  • Aditya Shende (http://kongsec.io)
  • Andreas Rothenbacher (https://error401.de)
  • Rachit Verma @b43kd00r (https://www.linkedin.com/in/b43kd00r/)
  • Suraj SK (https://www.linkedin.com/in/suraj-sk/)
  • Simon Effenberg (https://www.linkedin.com/in/simon-effenberg)
  • Niraj Mahajan (https://www.linkedin.com/in/niraj1mahajan)
  • Ayush Pandey (https://www.linkedin.com/in/ayush-pandey-148797175)
  • Sivanesh kumar D (https://twitter.com/sivanesh_hacker?s=09)
  • Touhid Shaikh (https://securityium.com/)
  • N Krishna Chaitanya (https://www.linkedin.com/in/n-krishna-chaitanya-27926aba/)
  • Ayush Mangal (https://www.linkedin.com/in/ayush-mangal-48a168110)
  • Tameem Khalid (https://www.linkedin.com/in/tameem-khalid-641a4b192/)
  • ddaa of TrapaSecurity (https://twitter.com/0xddaa)
  • Praveen Kumar
  • Oscar Spierings (https://polyform.dev)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • swings of Chaitin Security Research Lab
  • Hasibul Hasan Rifat (https://twitter.com/rifatsec)
  • Lanni
  • Yeshwanth (https://www.linkedin.com/in/yeshwanth-b-4a560b202)
  • Darshan Sunil jogi (https://www.linkedin.com/in/darshan-jogi-9450431b6/)
  • Chanyoung So (https://www.linkedin.com/in/chanyoung-so-62551b115/)
  • Lanni
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Vladislav Akimenko (Digital Security) (https://dsec.ru)
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Claudio Bozzato of Cisco Talos (https://talosintelligence.com/vulnerability_reports/)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • Aditya Soni (https://www.linkedin.com/in/adtyasoni)
  • Mansoor Amjad (https://twitter.com/TheOutcastCoder)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • James Smith (Bridewell Consulting) (https://bridewellconsulting.com)
  • Kinshuk Kumar (https://www.linkedin.com/in/kinshuk-kumar-4833551a1/)
  • Amit Kumar (https://www.linkedin.com/in/amit-kumar-9853731a4)
  • Mehedi Hasan Remon (twitter.com/remonsec)
  • Joshua Olson (www.linkedin.com/in/joshua-olson-cysa)
  • Vaibhav Rajeshwar Atkale(https://twitter.com/atkale_vaibhav)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • YoKo Kho (https://twitter.com/YoKoAcc)
  • Satyajit Das (https://www.linkedin.com/in/mrsatyajitdas)
  • Tinu Tomy (https://twitter.com/tinurock007)
  • Aniket Bhutani (https://www.linkedin.com/in/aniket-bhutani-6ba979192/)
  • Anurag Muley (https://www.linkedin.com/in/ianuragmuley/)
  • Howard Ching (https://www.linkedin.com/in/howard-ching-rhul/)
  • Janmejaya Swain (https://www.linkedin.com/in/janmejayaswainofficial)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Agrah Jain (www.linkedin.com/in/agrahjain)
  • Shivam Kamboj Dattana (https://www.linkedin.com/in/sechunt3r/)
  • Pratik Vinod Yadav (https://twitter.com/PratikY9967)
  • Akshaykumar Kokitkar (https://mobile.twitter.com/cyber_agent2)
  • Shesha Sai C (https://www.linkedin.com/in/shesha-sai-c-18585b125)
  • Yash Agarwal (https://www.linkedin.com/in/yash-agarwal-17464715b)
  • Jan KOPEC(https://twitter.com/blogresponder)
  • Denis Burtanović
  • Hasibul Hasan Shawon -[Sec Miner's Bangladesh]
  • R Atik Islam (https://www.facebook.com/atik.islam.14661)
  • Jose Israel Nadal Vidal (https://twitter.com/perito_inf)
  • Thomas Grünert (https://de.linkedin.com/in/thomas-gr%C3%BCnert-250905168)
  • Matteo Bussani (https://www.linkedin.com/in/matteo-bussani-77b595198/)
  • Bing-Jhong Jheng (https://github.com/st424204/ctf_practice)
  • Swapnil Patil (https://www.linkedin.com/in/swapnil-patil-874223195)
  • Prakash Kumar Parthasarathy (https://www.linkedin.com/in/prakashofficial)
  • Kitab Ahmed (www.ahmed.science)
  • Ahmad Firmansyah (https://twitter.com/AhmdddFsyaaah)
  • Tiziano Di Vincenzo (https://www.linkedin.com/in/tiziano-d-3324a345/)
  • Pratik Vinod Yadav (https://www.linkedin.com/in/pratik-yadav-117463149)
  • Diwakar Kumar (https://www.linkedin.com/in/diwakar-kumar-5b3843114/)
  • Rushi Gayakwad
  • Yash Ahmed Quashim (https://www.facebook.com/abir.beingviper)
  • Swapnil Kothawade (https://twitter.com/Swapnil_Kotha?s=09)
  • Ankit Kumar (https://www.linkedin.com/in/ankit-kumar-42a644166/)
  • Aman Rai (https://www.linkedin.com/in/aman-rai-737a19146)
  • Rushikesh Gaikwad (https://www.linkedin.com/in/rushikesh-gaikwad-407163171)
  • Rupesh Tanaji Kokare (https://www.linkedin.com/in/rupesh-kokare-b63a78145/)
  • Sumit Jain (https://twitter.com/sumit_cfe)
  • Qian Chen of Qihoo 360 Nirvan Team
  • Vishal Vachheta (https://www.linkedin.com/in/vishal-vachheta-a30863122)
  • Zhong Zhaochen
  • Tomasz Grabowski
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Safwat Refaat (https://twitter.com/Caesar302)
  • Agent22 (https://securelayer7.net/)
  • Hsiao-Yung Chen
  • Rich Mirch (https://blog.mirch.io)
  • Ronak Nahar (https://www.linkedin.com/in/naharronak/)
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • David Deller (https://horizon-nigh.org)
  • Mehedi Hasan (SecMiners BD) (https://www.facebook.com/polapan.1337)
  • Touhid M Shaikh (https://touhidshaikh.com)
  • Abhishek Gaikwad
  • Kitabuddin Ahmed
  • Noman Shaikh (https://twitter.com/nomanAli181)
  • Ajit Sharma (https://www.linkedin.com/in/ajit-sharma-90483655)
  • Agung Saputra Ch Lages (https://twitter.com/lagesgeges)
  • Dan Thomsen (www.thomsen.fo)
  • Erik de Jong (https://eriknl.github.io)
  • Sphinx 1,2 (https://www.facebook.com/Sphinx01.10/)
  • AHMED ELSADAT (https://www.linkedin.com/in/ahmed-elsadat-138755133/)
  • Hasibul Hasan (SecMiner)
  • Mohammed Eldawody (www.fb.com/eldawody0)
  • Chris Schneider
  • Abdullah Fares Muhanna (https://www.facebook.com/AbedullahFares)
  • Nick Blyumberg (https://www.linkedin.com/in/nickblyumberg/)
  • Axel Peters
  • Muhammad Junaid Abdullah (https://twitter.com/an0n_j)
  • Kyle Green
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Dankel Ahmed (https://hackerone.com/kitab)
  • ShuangYY
  • HackTrack Security
  • Muhammed Ashmil K K (Kavuthukandiyil)
  • Muhammad Junaid Abdullah (https://twitter.com/snoviboy)
  • Kishan kumar (https://facebook.com/noobieboy007)
  • Lays (http://l4ys.tw)
  • Ashish Kumar (https://www.facebook.com/buggyashish)
  • Lakshay Gupta (http://linkedin.com/in/lakshay-gupta-44102a143)
  • Meng-Huan Yu (https://www.linkedin.com/in/cebrusfs/)
  • Ifrah Iman (http://www.ifrahiman.com)
  • Mohammed Israil (https://www.facebook.com/VillageLad, https://www.linkedin.com/in/mohammed-israil-221656128)
  • Taien Wang (https://www.linkedin.com/in/taienwang/)
  • Emad Shanab (@Alra3ees) (https://twitter.com/Alra3ees?s=09)
  • குகன் ராஜா (Havoc Guhan) (https://fb.com/havocgwen)
  • Yasser Gersy (https://twitter.com/yassergersy)
  • Ismail Tasdelen (https://www.linkedin.com/in/ismailtasdelen)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady)
  • Oliver Kramer (https://www.linkedin.com/in/oliver-kramer-670206b5)
  • 1N3@CrowdShield (https://crowdshield.com)
  • louys, Xie Wei (解炜), Li Yanlong (李衍龙)
  • Zuo Chaoshun (https://www.linkedin.com/in/chaoshun-zuo-5b9559111/)
  • Ali Razzaq (https://twitter.com/AliRazzaq_)
  • 丁諭祺(Yu-Chi Ding) from DEVCORE CHROOT
  • Alex Weber (www.broot.ca)
  • Alex Bastrakov (https://twitter.com/kazan71p)
  • Mehidia Tania (https://www.beetles.io)
  • freetsubasa (https://twitter.com/freetsubasa)
  • Łukasz Rutkowski (http://www.forit.pl/)
  • Maximilian Tews (www.linkedin.com/in/maximilian-tews)
  • Bryan Galao (https://www.facebook.com/xbryan.galao)
  • Jim Zhou (vip-cloud.cn)
  • Chun Han Hsiao
  • Nightwatch Cybersecurity Research (https://wwws.nightwatchcybersecurity.com)
  • Olivier Bédard
  • Mohamed Eldawody (https://www.facebook.com/Eldawody0)
  • Jose Hares (https://es.linkedin.com/in/jose-hares-arrieta-b419233b)
  • 郑吉宏通过 GeekPwn 平台提交
  • Independent Security Evaluators (ISE) labs
  • Independent security researcher, MengHuan Yu, has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program
  • B.Dhiyaneshwaran (https://www.linkedin.com/in/dhiyaneshwaran-b-27947a131/)
  • Freiwillige Feuerwehr Rohrbach (www.ff-rohrbach.de)
  • Uriya Yavnieli from VDOO (https://vdoo.com)
  • Jung Chan Hyeok
  • Zhong Zhaochen (http://asnine.com)
  • Honc 章哲瑜 (https://www.facebook.com/you.toshoot)
  • Sumit Jain
  • Ketankumar B. Godhani (https://twitter.com/KBGodhani)
  • karthickumar (Ramanathapuram)
  • Alireza Azimzadeh Milani
  • Taien Wang (https://www.facebook.com/taien.tw)
  • Frédéric Crozat (http://blog.crozat.net/)
  • Muhammad Hassaan Khan (https://www.facebook.com/Profile.Hassaan)
  • SSD/Kacper Szurek
  • Alexander Drabek (https://www.2-sec.com/)
  • RAVELA PRAMOD KUMAR (https://mobile.twitter.com/PramodRavela)
  • Kushal Arvind Shah of Fortinet’s FortiGuard Labs
  • Alvin Poon (https://alvinpoon.myportfolio.com/)
  • C.shahidyan, C.Akilan, K.Sai Aswanth
  • BambooFox (https://bamboofox.github.io/)
  • Sajibe Kanti (https://twitter.com/sajibekantibd)
  • Huy Kha (linkedin.com/in/huykha)
  • Pal Patel (https://www.linkedin.com/in/pal434/)
  • Pethuraj M (https://www.linkedin.com/in/pethu/)
  • Ali Ashber (https://www.facebook.com/aliashber7)
  • Muzammil Abbas Kayani (@muzammilabbas2 )
  • Tayyab Qadir (facebook.com/tqMr.EditOr)
  • Babar Khan Akhunzada (www.SecurityWall.co)
  • Mahad Ahmed (https://octadev.com.pk)
  • JD Duh (blog.johndoe.tw, www.linkedin.com/in/JD-Duh)
  • Mubassir Kamdar (http://www.mubassirkamdar.com)
  • Daniel Díez Tainta (https://twitter.com/danilabs)
  • Tushar Rawool (twitter.com/tkrawool)
  • Thrivikram Gujarathi (https://www.linkedin.com/in/thrivikram-gujarathi-certified-ethical-hacker-bug-bounty-hunter-53074796)
  • Ashish Kunwar (twitter: @D0rkerDevil)
  • Steven Hampton (Twitter: @Keritzy, https://stevenh.neocities.org/)
  • Peter Bennink (https://www.linkedin.com/in/peter-bennink/)
  • Thomas Fady (https://www.linkedin.com/in/thomas-fady/)
  • Roopak Voleti (https://m.facebook.com/sairoopak.voleti)