HÄUFIG GESTELLTE FRAGEN

YesWeHack verbindet Organisationen und Projekte mit IT-Sicherheitsbedarf mit einer Vielzahl talentierter Einzelpersonen.

Die erste europäische Bug Bounty-Plattform, die sich nach Regelungen, Prinzipien und Rechtsprechung des europäischen Wirtschaftsraums richtet.

Bounty Factory hilft Ihnen beim Erstellen eines Bug Bounty-Programms (BBP), auch Prämienprogramm für Schwachstellen genannt (Vulnerability Reward Program, VRP). Ein BBP ist eine wettbewerbsorientierte Crowdsourcing-Initiative, die Einzelpersonen für das Auffinden von Schwachstellen in der Programmierung (Software, Websites usw.) belohnt.

YES WE HACK-FORSCHER unterstützen Entwickler dabei, ihre Programme zu sichern, bevor sie veröffentlicht werden. Dies ist üblicherweise eine präventive Sicherheitsstrategie.

Ein "Bug Bounty"-Programm ist ein Schwachstellenprüfungsprogramm, das Forscher belohnt, die innerhalb eines vom Bug Bounty-Programm und seinem Umkreis (Geltungsbereich) vorgegebenen Rahmens Sicherheitsschwachstellen finden. Diese gefundenen Schwachstellen können finanziell oder auf andere Art und Weise belohnt werden (Bounty/Prämie).

Unser Bug Bounty-Programmregelgenerator kann Sie beim Erstellen Ihres Bug Bounty-Programms unterstützen.

Ein Bug Bounty-Programm kann die Sicherheit eines definierten Umkreises (Geltungsbereichs) durch eine Gemeinschaft von Sicherheitsexperten testen. Ziel ist, eine Gemeinschaft verantwortungsbewusster Experten zu nutzen, um Ihre Sicherheit kontinuierlich zu erhöhen und Schwachstellen zu erkennen, bevor sie ausgenutzt werden.

Der Crowd-Sicherheitsprozess ist ein innovativer Ansatz, der das Fachwissen der weltweiten Gemeinschaft von White Hat-Hackern (BUG-JÄGER) und IT-Sicherheitsbegeisterten nutzt.

Ein Bug Bounty-Programm umfasst die Regeln, die ein Bug-Jäger einhalten muss, um teilzunehmen und Sicherheitsschwachstellen einzureichen.

Mindestangaben sind der Umkreis (Geltungsbereich), die Auswahlvorschriften für Schwachstellen sowie diejenigen, die sich außerhalb des Geltungsbereichs befinden.

Beispiele für Bug Bounty-Programme finden Sie in unserem Bug Bounty-Sammler firebounty.com.

Ein privates Bug Bounty-Programm ist nur für Hacker verfügbar, die eine Einladung erhalten haben. Ein öffentliches Bug Bounty-Programm steht der gesamten Yes We Hack-Gemeinschaft zur Verfügung.

Ein "Bug-Jäger" ist ein IT-Sicherheitsforscher oder -begeisterter.

Übermitteln Sie eine detaillierte Beschreibung des Vorgangs zum Ausnutzen der gefundenen Sicherheitslücke sowie der Auswirkungen auf das Ziel des Programms. Um die Chancen für die Berücksichtigung Ihres Berichts zu erhöhen, sollten Sie Screenshots und einen Wirksamkeitsnachweis beifügen.

Es ist wichtig, dass Sie als Bug-Jäger einen Schwachstellenbericht verfassen, damit der Verantwortliche Ihren Bug schnell bestätigen kann. Je nach Qualität des Berichts erhalten Sie Stilpunkte.

Im Verlauf eines Bug Bounty-Programms suchen Bug-Jäger nach unterschiedlichen Arten von Schwachstellen. Diese Berichte sollten nach ihrer Verständlichkeit und Genauigkeit sowie nach ihrer Kritikalität für den im Programm definierten Umkreis beurteilt werden.

Der Betrag der Belohnungen wird nach freiem Ermessen der Verantwortlichen festgelegt, doch es ist üblich, einen Bug-Jäger zu belohnen, wenn sein Bericht zu einer Änderung des Anwendungscodes führte.

Sobald Ihr Programm in privaten oder öffentlichen Bereich ins Leben gerufen, werden sortieren Sie und Bugs von 'Hunters', Performance Awards und schließlich den Fehler korrigieren, wieder zusammen qualifizieren. Um sicher zu sein ich die Auslastung Ihres Bug Bounty Programm meistern, besuchen Sie bitte unsere Program Manager

Die Bug-Jäger willigen in die Einhaltung der Offenlegungsrichtlinien des Bug Bounty-Programms ein, sobald sie den Geschäftsbedingungen von bountyfactory.io zustimmen und solange sie im Programm eingeschrieben sind. Eine Schwachstelle außerhalb des Geltungsbereichs wird vermutlich nicht belohnt und der Bug-Jäger kann Punkte verlieren.

Eine Schwachstelle gilt als akzeptiert, sobald sie vom Verantwortlichen getestet und reproduziert wurde sowie alle im Bug Bounty-Programm aufgeführten Regeln einhält.

In diesem Fall wird die Schwachstelle gemäß der im Bug Bounty-Programm aufgeführten Regeln belohnt.

Ein "Duplikat" ist eine Schwachstelle, die im Programm bereits eingereicht wurde. Sie gilt nicht als zulässig und wird nicht belohnt. Der Bug-Jäger kann dennoch einen Punkt erhalten.

Die Mindestprämie ist die im Programm aufgeführte minimale Prämie, die der Bug-Jäger nach der Bestätigung eines Schwachstellenberichts erhält (ohne Duplikate).

Es gibt keine höchstmögliche Prämie. Der Betrag wird nach freiem Ermessen der Verantwortlichen festgelegt.

Bug-Duplikat 1 Punkt
Bug außerhalb des Geltungsbereichs -3 Punkte
Bestätigter und geschlossener Bug 7 Punkte

Jede Prämie bringt Punkte:

Zwischen 1 und 500 € 15 Punkte
Zwischen 501 und 2000 € 25 Punkte
Über 2000 € 50 Punkte

Punkte