โปรแกรมรางวัลช่องโหว่ความปลอดภัย
QNAP มีความมุ่งมั่นอย่างแน่วแน่ต่อความปลอดภัยของข้อมูล และได้ร่วมมือกับชุมชนนักวิจัยด้านความปลอดภัยเพื่อระบุและแก้ไขช่องโหว่ต่าง ๆ เพื่อให้ผู้ใช้ ผลิตภัณฑ์ และอินเทอร์เน็ตปลอดภัยยิ่งขึ้น เพื่อขอบคุณผู้ที่มีส่วนร่วม QNAP มอบรางวัลผ่านโปรแกรมรางวัลช่องโหว่ความปลอดภัยของเรา
ขอบเขตของโปรแกรม
โปรแกรมรางวัลนี้รับเฉพาะรายงานช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับผลิตภัณฑ์และบริการเว็บของ QNAP เท่านั้น รายงานด้านความปลอดภัยที่อยู่นอกเหนือขอบเขตของโปรแกรมนี้จะไม่ได้รับสิทธิ์รับรางวัล โปรแกรมนี้ไม่รับหรือให้รางวัลสำหรับช่องโหว่ที่พบในซอฟต์แวร์ของบุคคลที่สาม (เช่น 3rd Party QPKG) หากคุณค้นพบปัญหาด้านความปลอดภัยในซอฟต์แวร์ดังกล่าว กรุณาติดต่อและแจ้งผู้ผลิตหรือผู้พัฒนาโดยตรง
จะรายงานช่องโหว่และรับรางวัลได้อย่างไร?
ใช้คีย์สาธารณะ PGP ด้านล่างเพื่อเข้ารหัสอีเมลของคุณและส่งไปที่ security@qnap.com เราจะติดต่อกลับโดยเร็วที่สุด
รูปแบบที่แนะนำสำหรับรายงานช่องโหว่
-
ระบบปฏิบัติการ
-
แอปพลิเคชัน
-
บริการคลาวด์
คีย์เข้ารหัส PGP
คุณสมบัติที่มีสิทธิ์รับรางวัล
-
คุณต้องเป็นนักวิจัยคนแรกที่รายงานช่องโหว่นี้
-
คุณต้องไม่เผยแพร่ไฟล์และ/หรือรายละเอียดใด ๆ ที่เกี่ยวข้องกับช่องโหว่ต่อสาธารณะ ซึ่งรวมถึงการอัปโหลดไปยังเว็บไซต์ที่เข้าถึงได้โดยสาธารณะ
-
ช่องโหว่ที่รายงานจะต้องได้รับการยืนยันว่าสามารถตรวจสอบ ทำซ้ำ และเป็นปัญหาด้านความปลอดภัยที่ถูกต้องโดยทีม QNAP PSIRT
-
คุณตกลงยอมรับ ข้อกำหนดและเงื่อนไข ทั้งหมดของโปรแกรมรางวัลช่องโหว่ด้านความปลอดภัย
รางวัลอาจเพิ่มขึ้นตาม:
-
ความถูกต้องของรูปแบบ: ปฏิบัติตามตัวอย่างรูปแบบและให้ข้อมูลรายละเอียดเมื่อรายงานช่องโหว่ในระบบปฏิบัติการ แอปพลิเคชัน หรือบริการคลาวด์ ตัวอย่างรูปแบบ: ระบบปฏิบัติการ, แอปพลิเคชัน, บริการคลาวด์
-
ขั้นตอนการทำซ้ำ: อธิบายขั้นตอนของคุณในการทำซ้ำช่องโหว่
-
คำอธิบายปัญหา: นำเสนอการแก้ไขปัญหาและแนวทางของคุณอย่างชัดเจนและกระชับ
-
ข้อมูลสนับสนุนอื่น ๆ: รวมโค้ดทดสอบ สคริปต์ และสิ่งอื่น ๆ ที่จำเป็นสำหรับคำอธิบายของคุณ
-
ข้อมูลดิบของการโจมตี (exploit payload): ต้องมีรายงานในรูปแบบข้อความเพื่อรับรองความถูกต้องของข้อมูล การประเมินช่องโหว่อาจไม่เป็นไปตามที่ QNAP PSIRT คาดหวังหากมีเพียง payload เครือข่ายในรูปแบบภาพเท่านั้น
การขอบคุณ
เราขอขอบคุณนักวิจัยทุกท่านอย่างจริงใจสำหรับความเชี่ยวชาญและความทุ่มเท
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
คำถามที่พบบ่อย
รางวัลจะพิจารณาจากความซับซ้อนในการเจาะช่องโหว่ ความเสี่ยงที่อาจเกิดขึ้น และเปอร์เซ็นต์ของผู้ใช้และระบบที่ได้รับผลกระทบ
หากวิดีโอช่วยให้เราเข้าใจวิธีการโจมตีช่องโหว่ได้ง่ายขึ้น คณะกรรมการรางวัลของ QNAP อาจเพิ่มรางวัลให้ อย่างไรก็ตาม ต้องแนบเอกสารประกอบเป็นลายลักษณ์อักษรด้วย (เช่น ข้อมูลผลิตภัณฑ์ สรุปช่องโหว่ และขั้นตอนการทำซ้ำ) เพื่อช่วยในการจัดการกระบวนการเปิดเผยช่องโหว่
รายงานช่องโหว่ต้องมีข้อมูลอย่างน้อยดังต่อไปนี้: ชื่อผลิตภัณฑ์ เวอร์ชัน และหมายเลขบิลด์ที่พบช่องโหว่ หรือ URL สำหรับบริการคลาวด์
ควรมีสรุปภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่ พร้อมรายละเอียดขั้นตอนการทำซ้ำอย่างชัดเจน นอกจากนี้ รายงานสามารถแนบวิดีโอแสดงช่องโหว่ได้ด้วย
โปรดใช้คีย์ PGP ที่ QNAP ให้เพื่อเข้ารหัสรายงานและส่งไปที่ security@qnap.com ระบบจะตอบกลับอัตโนมัติพร้อมหมายเลขสนับสนุนทางเทคนิค ซึ่งคุณสามารถใช้สอบถามความคืบหน้าการตรวจสอบได้ ทีม QNAP PSIRT จะติดต่อผู้วิจัยโดยตรงเพื่อตรวจสอบความครบถ้วนของข้อมูลที่ส่งมา หากข้อมูลครบถ้วน ผู้วิจัยจะได้รับจดหมายยืนยันช่องโหว่จาก QNAP PSIRT ภายในหนึ่งสัปดาห์ โดยในจดหมายจะระบุหมายเลข CVE ที่กำหนดให้กับปัญหาด้านความปลอดภัยนั้น ข้อเสนอรางวัลจะได้รับแจ้งทางอีเมลภายในสี่สัปดาห์หลังจากวันที่ได้รับจดหมายยืนยันช่องโหว่ หากผู้วิจัยตกลง QNAP จะดำเนินการชำระเงินภายใน 12 สัปดาห์หลังจากได้รับการตอบรับยืนยัน
สมัครรับข่าว QNAP eNews เพื่อรับข่าวสารความปลอดภัยของผลิตภัณฑ์ล่าสุด
ระบบปฏิบัติการ
รางวัลสูงสุด US$20,000
| รางวัล |
รายงานช่องโหว่ด้านความปลอดภัยที่ได้รับการยืนยันและประเมินแล้วจะได้รับรางวัลสูงสุดถึง $20,000 |
|---|---|
| ผลิตภัณฑ์ที่อยู่ในขอบเขต |
รับเฉพาะรายงานเกี่ยวกับผลิตภัณฑ์ แอปพลิเคชัน และบริการที่ออกเวอร์ชันทางการและเป็นเวอร์ชันล่าสุดเท่านั้น
|
| ข้อจำกัด |
โปรแกรมรางวัลช่องโหว่ความปลอดภัยนี้จำกัดเฉพาะช่องโหว่ที่พบในผลิตภัณฑ์และบริการของ QNAP เท่านั้น ห้ามดำเนินการใด ๆ ที่อาจสร้างความเสียหายหรือส่งผลกระทบต่อเซิร์ฟเวอร์หรือข้อมูลของ QNAP การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือกฎหมายไต้หวัน จะไม่รับรายงานช่องโหว่หากมีเนื้อหาหรือเกี่ยวข้องกับ:
|
แอปพลิเคชัน
รางวัลสูงสุด US$10,000
| รางวัล |
รายงานช่องโหว่ด้านความปลอดภัยที่ได้รับการยืนยันและประเมินแล้วจะได้รับรางวัลสูงสุดถึง $10,000 |
|---|---|
| ผลิตภัณฑ์ที่อยู่ในขอบเขต |
รับเฉพาะรายงานเกี่ยวกับผลิตภัณฑ์ แอปพลิเคชัน และบริการที่ออกเวอร์ชันทางการและเป็นเวอร์ชันล่าสุดเท่านั้น โปรแกรมนี้รับเฉพาะรายงานช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันต่อไปนี้เท่านั้น:
|
| ข้อจำกัด |
โปรแกรมรางวัลช่องโหว่ความปลอดภัยนี้จำกัดเฉพาะช่องโหว่ที่พบในผลิตภัณฑ์และบริการของ QNAP เท่านั้น ห้ามดำเนินการใด ๆ ที่อาจสร้างความเสียหายหรือส่งผลกระทบต่อเซิร์ฟเวอร์หรือข้อมูลของ QNAP การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือกฎหมายไต้หวัน จะไม่รับรายงานช่องโหว่หากมีเนื้อหาหรือเกี่ยวข้องกับ:
|
บริการคลาวด์
รางวัลสูงสุดถึง US$5,000
| รางวัล |
รายงานช่องโหว่ด้านความปลอดภัยที่ได้รับการยืนยันและประเมินแล้วจะได้รับรางวัลสูงสุดถึง $5,000 |
|---|---|
| ผลิตภัณฑ์ที่อยู่ในขอบเขต |
รับเฉพาะรายงานเกี่ยวกับผลิตภัณฑ์ แอปพลิเคชัน และบริการที่ออกเวอร์ชันอย่างเป็นทางการและเป็นเวอร์ชันล่าสุดเท่านั้น โปรแกรมนี้รับเฉพาะรายงานช่องโหว่ด้านความปลอดภัยในโดเมนต่อไปนี้ :
|
| ข้อจำกัด |
โปรแกรมรางวัลช่องโหว่ความปลอดภัยนี้จำกัดเฉพาะช่องโหว่ที่พบในผลิตภัณฑ์และบริการของ QNAP เท่านั้น ห้ามดำเนินการใด ๆ ที่อาจสร้างความเสียหายหรือส่งผลกระทบต่อเซิร์ฟเวอร์หรือข้อมูลของ QNAP การทดสอบช่องโหว่ต้องไม่ละเมิดกฎหมายท้องถิ่นหรือกฎหมายไต้หวัน จะไม่รับรายงานช่องโหว่หากมีเนื้อหาหรือเกี่ยวข้องกับ:
|
ระบบปฏิบัติการ
(ช่องที่มีเครื่องหมาย * จำเป็นต้องกรอก)
-
ผลิตภัณฑ์*: ชื่อผลิตภัณฑ์ เช่น QuTS hero
-
เวอร์ชัน*: หมายเลขเวอร์ชันและหมายเลข build เช่น h5.0.1.2376 build 20230421
-
สรุป*: ในรูปแบบ “ประเภทของช่องโหว่ในตำแหน่ง” เช่น Command Injection ใน abc.cgi
-
สิทธิ์การเข้าถึง*: สิทธิ์การเข้าถึงขณะทดสอบช่องโหว่ เช่น ไม่มี / ผู้ใช้ทั่วไป / กลุ่มผู้ดูแลระบบ / ผู้ดูแลระบบ
-
แรงจูงใจ: เหตุผลที่คุณเริ่มต้นการวิจัยช่องโหว่เหล่านี้
-
เครื่องมือ: เครื่องมือที่คุณใช้ระหว่างการวิจัยช่องโหว่
-
คำอธิบาย: ข้อมูลที่เกี่ยวข้องกับช่องโหว่
-
ตัวอย่างเช่น:
-
คำอธิบายสั้น ๆ เกี่ยวกับความเสียหายที่อาจเกิดขึ้น
-
การวิเคราะห์ช่องโหว่
-
วิธีการระบุช่องโหว่
-
เครื่องมือที่ใช้
-
-
CWE ID(s): CWE-XXX, CWE-YYY และอื่น ๆ
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY และอื่น ๆ
-
คะแนน CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., โปรดดูที่ Base Score Calculator https://cvss.js.org/
-
ขั้นตอนการทำซ้ำ*: คำแนะนำทีละขั้นตอนเพื่อทำซ้ำ
-
ตัวอย่างการพิสูจน์: วิดีโอ ภาพหน้าจอ หรือโค้ดโจมตี
แอปพลิเคชัน
(ช่องที่มีเครื่องหมาย * จำเป็นต้องกรอก)
-
แอปพลิเคชัน*: ชื่อแอปพลิเคชัน เช่น File Station
-
เวอร์ชัน*: หมายเลขเวอร์ชันและหมายเลข build เช่น 2.0.2 ( 2022/01/26 )
-
สรุป*: ในรูปแบบ “ประเภทของช่องโหว่ในตำแหน่ง” เช่น Buffer overflow ในแอป abc
-
สิทธิ์การเข้าถึง*: สิทธิ์การเข้าถึงขณะทดสอบช่องโหว่ เช่น ไม่มี / ผู้ใช้ทั่วไป / กลุ่มผู้ดูแลระบบ / ผู้ดูแลระบบ
-
แรงจูงใจ: เหตุผลที่คุณเริ่มต้นการวิจัยช่องโหว่เหล่านี้
-
เครื่องมือ: เครื่องมือที่คุณใช้ระหว่างการวิจัยช่องโหว่
-
คำอธิบาย: ข้อมูลที่เกี่ยวข้องกับช่องโหว่
-
ตัวอย่างเช่น:
-
คำอธิบายสั้น ๆ เกี่ยวกับความเสียหายที่อาจเกิดขึ้น
-
การวิเคราะห์ช่องโหว่
-
วิธีการระบุช่องโหว่
-
เครื่องมือที่ใช้
-
-
CWE ID(s): CWE-XXX, CWE-YYY และอื่น ๆ
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY และอื่น ๆ
-
คะแนน CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., โปรดดูที่ Base Score Calculator https://cvss.js.org/
-
ขั้นตอนการทำซ้ำ*: คำแนะนำทีละขั้นตอนเพื่อทำซ้ำ
-
ตัวอย่างการพิสูจน์: วิดีโอ ภาพหน้าจอ หรือโค้ดโจมตี
บริการคลาวด์
(ช่องที่มีเครื่องหมาย * จำเป็นต้องกรอก)
-
โดเมน*: ชื่อโดเมน (เช่น https://account.qnap.com)
-
สรุป*: ในรูปแบบ “ประเภทของช่องโหว่ในตำแหน่ง” เช่น XSS บน https://account.qnap.com
-
แรงจูงใจ: เหตุผลที่คุณเริ่มต้นการวิจัยช่องโหว่เหล่านี้
-
เครื่องมือ: เครื่องมือที่คุณใช้ระหว่างการวิจัยช่องโหว่
-
คำอธิบาย: ข้อมูลที่เกี่ยวข้องกับช่องโหว่
-
ตัวอย่างเช่น:
-
คำอธิบายสั้น ๆ เกี่ยวกับความเสียหายที่อาจเกิดขึ้น
-
การวิเคราะห์ช่องโหว่
-
วิธีการระบุช่องโหว่
-
เครื่องมือที่ใช้
-
-
CWE ID(s): CWE-XXX, CWE-YYY และอื่น ๆ
-
CAPEC ID(s): CAPEC-XXX, CAPEC-YYY และอื่น ๆ
-
คะแนน CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., โปรดดูที่ Base Score Calculator https://cvss.js.org/
-
ขั้นตอนการทำซ้ำ*: คำแนะนำทีละขั้นตอนเพื่อทำซ้ำ
-
ตัวอย่างการพิสูจน์: วิดีโอ ภาพหน้าจอ หรือโค้ดโจมตี
