English ZAP-Hosting Bug Bounty Programm
Niemand ist perfekt. Zum Schutz unserer Kunden und Dienste, bieten wir ein Bug Bounty Programm für Sicherheitslücken an.
Das Programm
Wichtig: Das ZAP-Hosting Bug Bounty Programm ist nicht für Probleme mit unserem Webinterface oder Produkten gedacht, die sich nicht auf Sicherheit beziehen. Bitte erstelle für solche Fälle ein normales Ticket und wir lösen das Problem zusammen so schnell wie möglich.
Bei Einhaltung der Regeln werden wir keine rechtlichen Schritte einleiten. Du erhältst in der Regel innerhalb von maximal 72 Stunden eine erste Antwort.
Bedingungen
- Du musst der Erste sein, der die Lücke meldet.
- Bitte gib keine Informationen über die gemeldete Lücke weiter. Wenn du öffentlich über die Lücke in einem Writeup berichten möchtest, melde dich bitte vorher bei uns.
- Zeige deinen guten Willen und versuche nicht auf kritische Daten zuzugreifen (führe in RCE-Lücken beispielsweise id aus statt /etc/passwd zu dumpen), sie zu zerstören oder unseren Service anderweitig abzuwerten. Sollte es für die Überprüfung der Lücke zwingend notwendig sein kritische Daten einzusehen, erläutere uns das bitte in deinem Report.
- Melde die gefundene Lücke nachdem du sie überprüft hast so schnell wie möglich.
- Nutze keine automatisierten Tools (z.B. sqlmap)
- Sende uns klare Schritte, mit denen wir die Lücke reproduzieren können, und ein Beispiel in dem du uns zeigst, wie sicherheitsrelevant die Lücke ist.
- Erstelle maximal zwei Accounts. Das sollte für alle Szenarien ausreichen.
Report & Bounty
Melde die gefundene Lücke bitte, indem du ein Ticket erstellst und im Dropdown bei „Bezug auf“ Sicherheitslücke auswählst. Das ermöglicht uns deine Meldung zuzuordnen und so schnell wie möglich zu bearbeiten. Sende uns pro Report bitte nur eine Lücke. Wichtig: Bitte melde keine Lücke über andere Kanäle wie z.B. die unten angegebene Mail-Adresse, die für Fragen und ähnliche Anliegen gedacht ist.
Als Belohnung dafür, dass du unsere Sicherheit und die Privatsphäre unserer Kunden verbesserst, erhältst du selbstverständlich eine entsprechende Bug Bounty.
Scope
- zap-hosting.com
- rest.zap-hosting.com
- Server aus dem ZAP Hosting Netzwerk, die wir kontrollieren (keine Kundenserver)
Nicht im Scope
- Denial of service
- Spamming
- Social engineering (inklusive Phishing) von ZAP-Hosting Mitarbeitern oder Rechenzentren
- Physisches Eindringen bei ZAP-Hosting oder Rechenzentren
- Fehlende Cookie Flags auf nicht sicherheitsrelevanten Cookies
- CSRF (ohne ein Beispiel, was uns eine sicherheitsrelevante Auswirkung zeigt)
- Preisgabe von nicht kritischen Informationen
- Beschreibende Fehlermeldungen (z.B. Stack Traces oder Server Fehlermeldungen)
- Open Redirects (ohne ein Beispiel, wie dieser kritisch eingesetzt werden kann)
- Meldungen von veralteten Versionen ohne praktisches Beispiel
- Captcha Bypass
- Self-XSS (insofern kein Szenario herbeigeführt werden kann, in dem andere Nutzer betroffen sind)
- Fehlende Sicherheits-HTTP-Header
- Lücken, die nur in extrem veralteten Browsern reproduzierbar sind
- Bekannte Lücken in beispielsweise WordPress
Wenn du eine Lücke gefunden hast, die nicht im Scope ist oder nicht speziell oben im Scope gelistet ist, deiner Meinung nach aber kritisch ist, bitten wir dich sie trotzdem zu melden. Wir schauen uns die Problematik gerne an und entscheiden dann, ob es sich hier um eine Ausnahme handelt.
Bei Fragen stehen wir dir gerne zur Verfügung: security@zap-hosting.com (hier bitte keine Lücken melden)
Bug Bounty
Selbstverständlich zeigen wir uns für deine Arbeit und Hilfe auf folgende Weise erkenntlich.
Lücke melden
Du hast etwas gefunden? Wir freuen uns auf deinen Report!