Vui lòng đọc kỹ các quy tắc (Terms and Conditions) trước khi tham gia pentest!
Rules & Terms & Note
Không share scope ra ngoài nhóm.
Không dùng từ "Synack" khi tạo tài khoản hoặc pentest.
Fuzzing có thể thêm header "X-Bugcrowd", "X-HackerOne",... nhưng không dùng "X-Synack".
Target không truy cập được có thể do yêu cầu VPN Synack – bỏ qua.
Scope không chỉ là `*.domain.com` mà có thể chỉ có `domain.com/path/*` là trong scope
Mọi lỗ hổng phải có chứng minh Impact rõ ràng thay vì suy đoán (như các sàn bounty khác)
Synack chỉ trả tiền trong phạm vi scope được liệt kê.
Bug chain bắt đầu từ OOS → toàn bộ bug bị coi là Out of Scope.
Đọc kỹ phần "RoE" của từng target khách hàng (nếu không có thì bỏ qua). Phần "RoE" có thể chứa các domain bị loại hoặc lưu ý của khách hàng để tránh bị WAF chặn.
Xem phần "Updates" để theo dõi cập nhật từ Synack.
Bounty của Synack cho mọi scope là cố định từ $100–$3000, có scope sẽ được bonus thêm 200–300% (Max từng thấy là ~15.000$), có scope giảm còn 70–20% hoặc 0$. Chi tiết xem VarPayouts ở Tab bên
Cùng 1 lỗi trên nhiều param chỉ tính 1 bug + 10–20% mỗi param bổ sung. tối đa 166% giá trị Vuln.
Khác URL nhưng cùng params, cùng lỗi (có thể cùng một đoạn code xử lý) → bị coi là duplicate.
Sẽ Update bổ sung sau. Note một vài cái có thể anh em thắc mắc trước thế thôi :>