Sicherheit
Bug-Bounty-Programm. Schwachstellen finden, Belohnungen erhalten.
Helfen Sie uns, unsere Sicherheit zu verbessern und verdienen Sie Belohnungen. Wir laden Sicherheitsforscher ein, unsere Systeme verantwortungsvoll zu testen. Wenn Sie eine Schwachstelle finden, zahlen wir Ihnen für die Meldung.
Regeln
Grundregeln
- Testen Sie sorgfältig: Stören Sie unsere Dienste nicht und verwenden Sie keine automatisierten Scanning-Tools.
- Nutzen Sie nur Ihr eigenes Testkonto. Versuchen Sie niemals, auf Konten anderer Nutzer zuzugreifen.
- Benachrichtigen Sie uns sofort, wenn Sie Zugang zu unseren internen Systemen erhalten.
- Halten Sie Ihre Erkenntnisse vertraulich, bis wir das Problem behoben haben.
- Nur die erste Person, die eine bestimmte Schwachstelle meldet, erhält die Belohnung.
Umfang
Was wir suchen
Wir belohnen Entdeckungen, die ein echtes Sicherheitsrisiko darstellen. Die Belohnungen sind höher für kritische Probleme:
- Unautorisierter Zugriff auf Daten anderer Nutzer (die bloße Bestätigung der Existenz eines Kontos zählt nicht).
- Umgehung von API-Sicherheitskontrollen (z. B. Rate-Limit-Bypass, Authentifizierungs-Bypass).
- Cross-Site-Scripting (XSS)-Schwachstellen.
- Remote Code Execution auf unseren Servern.
- SQL-Injection oder andere Injection-Angriffe.
- Schwachstellen in der Authentifizierung oder Sitzungsverwaltung.
Wir belohnen nur Sicherheitslücken, die Nutzer oder deren Daten gefährden könnten, nicht kosmetische Fehler oder defekte Funktionen.
Ausschlüsse
Was wir nicht vergüten
- Denial-of-Service (DoS/DDoS)-Angriffe oder Brute-Force-Versuche.
- Mixed-Content-Probleme oder SSL-Konfigurationsfehler.
- Social-Engineering- oder Phishing-Angriffe.
- Theoretische Schwachstellen ohne funktionierenden Proof of Concept.
- Fehlende Sicherheits-Header oder Standard-Härtungseinstellungen (z. B. Passwortrichtlinie, E-Mail-Verifizierung).
- Schwachstellen in Drittanbieter-Diensten oder Abhängigkeiten außerhalb unserer Kontrolle.
Belohnungen
Wie wir zahlen
Je kritischer die Schwachstelle, desto höher die Belohnung. Es gibt keine feste Obergrenze. Wenn Sie etwas besonders Ernstes oder Raffiniertes finden, werden wir Sie entsprechend belohnen. Die Beträge werden basierend auf der potenziellen Auswirkung der Schwachstelle festgelegt. Zahlungen erfolgen in USD über PayPal, nachdem die Schwachstelle verifiziert und behoben wurde. Es gelten die standardmäßigen PayPal-Gebühren.
Meldung
So melden Sie
01
Einreichen
Reichen Sie Ihren Bericht unter webapi.group/bug-bounty mit einer detaillierten Beschreibung und einem Proof of Concept ein.
02
Prüfung
Unser Sicherheitsteam prüft Ihren Bericht und antwortet innerhalb von 7 Werktagen.
03
Behebung
Wir arbeiten an einer Lösung. Wir können Sie für weitere Details kontaktieren.
04
Belohnung
Sobald die Schwachstelle verifiziert und behoben ist, bearbeiten wir Ihre Belohnung in USD über PayPal.
Schwachstelle melden
Schwachstellenmeldungen werden auf der Bug-Bounty-Seite der WebAPI Group eingereicht. Gehen Sie zu webapi.group/bug-bounty, um Ihren Bericht mit möglichst vielen Details einzureichen, einschließlich Reproduktionsschritten, Auswirkungen und gegebenenfalls einem Proof of Concept.
Bereit loszulegen?
Ihre Web-Scraping-API ist nur einen Klick entfernt. Starten Sie mit +500 Credits, ohne Infrastruktur einrichten zu müssen, ohne Proxys zu verwalten und ohne Kreditkarte.
- +500 Credits
- Keine Kreditkarte erforderlich
- Alle Endpunkte enthalten