Bug Bounty Programm

Das Programm Wichtig: Das ZAP-Hosting Bug Bounty Programm ist nicht für Probleme mit unserem Webinterface oder Produkten gedacht, die sich nicht auf Sicherheit beziehen. Bitte erstelle für solche Fälle ein normales Ticket und wir lösen das Problem zusammen so schnell wie möglich. Bei Einhaltung der Regeln werden wir keine rechtlichen Schritte einleiten. Du erhältst in der Regel innerhalb von maximal 72 Stunden eine erste Antwort.

Bedingungen
  • Du musst der Erste sein, der die Lücke meldet.
  • Bitte gib keine Informationen über die gemeldete Lücke weiter. Wenn du öffentlich über die Lücke in einem Writeup berichten möchtest, melde dich bitte vorher bei uns.
  • Zeige deinen guten Willen und versuche nicht auf kritische Daten zuzugreifen (führe in RCE-Lücken beispielsweise id aus statt /etc/passwd zu dumpen), sie zu zerstören oder unseren Service anderweitig abzuwerten. Sollte es für die Überprüfung der Lücke zwingend notwendig sein kritische Daten einzusehen, erläutere uns das bitte in deinem Report.
  • Melde die gefundene Lücke nachdem du sie überprüft hast so schnell wie möglich.
  • Nutze keine automatisierten Tools (z.B. sqlmap)
  • Sende uns klare Schritte, mit denen wir die Lücke reproduzieren können, und ein Beispiel in dem du uns zeigst, wie sicherheitsrelevant die Lücke ist.
  • Erstelle maximal zwei Accounts. Das sollte für alle Szenarien ausreichen.
Report & Bounty Melde die gefundene Lücke bitte, indem du ein Ticket erstellst und im Dropdown bei „Bezug auf“ Sicherheitslücke auswählst. Das ermöglicht uns deine Meldung zuzuordnen und so schnell wie möglich zu bearbeiten. Sende uns pro Report bitte nur eine Lücke. Wichtig: Bitte melde keine Lücke über andere Kanäle wie z.B. die unten angegebene Mail-Adresse, die für Fragen und ähnliche Anliegen gedacht ist.

Als Belohnung dafür, dass du unsere Sicherheit und die Privatsphäre unserer Kunden verbesserst, erhältst du selbstverständlich eine entsprechende Bug Bounty.
Scope
  • zap-hosting.com
  • rest.zap-hosting.com
  • Server aus dem ZAP Hosting Netzwerk, die wir kontrollieren (keine Kundenserver)
Nicht im Scope
  • Denial of service
  • Spamming
  • Social engineering (inklusive Phishing) von ZAP-Hosting Mitarbeitern oder Rechenzentren
  • Physisches Eindringen bei ZAP-Hosting oder Rechenzentren
  • Fehlende Cookie Flags auf nicht sicherheitsrelevanten Cookies
  • CSRF (ohne ein Beispiel, was uns eine sicherheitsrelevante Auswirkung zeigt)
  • Preisgabe von nicht kritischen Informationen
  • Beschreibende Fehlermeldungen (z.B. Stack Traces oder Server Fehlermeldungen)
  • Open Redirects (ohne ein Beispiel, wie dieser kritisch eingesetzt werden kann)
  • Meldungen von veralteten Versionen ohne praktisches Beispiel
  • Captcha Bypass
  • Self-XSS (insofern kein Szenario herbeigeführt werden kann, in dem andere Nutzer betroffen sind)
  • Fehlende Sicherheits-HTTP-Header
  • Lücken, die nur in extrem veralteten Browsern reproduzierbar sind
  • Bekannte Lücken in beispielsweise WordPress

Wenn du eine Lücke gefunden hast, die nicht im Scope ist oder nicht speziell oben im Scope gelistet ist, deiner Meinung nach aber kritisch ist, bitten wir dich sie trotzdem zu melden. Wir schauen uns die Problematik gerne an und entscheiden dann, ob es sich hier um eine Ausnahme handelt.

Bei Fragen stehen wir dir gerne zur Verfügung: security@zap-hosting.com (hier bitte keine Lücken melden)

Niemand ist perfekt
Beschreibung

Zum Schutz unserer Kunden und Dienste, bieten wir ein Bug Bounty Programm für Sicherheitslücken an.

Du hast etwas gefunden? Wir freuen uns auf deinen Report!

Sicherheitslücke melden

Immer inklusive
Dies ist ein Test
security-bounty-coins
Datenschutzerklärung Impressum

Welche 🍪 Cookies dürfen es für dich sein?

Wir verwenden Cookies und ähnliche Technologien auf unserer Website und verarbeiten deine personenbezogenen Daten (z.B. IP-Adresse), um z.B. Inhalte und Anzeigen zu personalisieren, Medien von Drittanbietern einzubinden oder Zugriffe auf unsere Website zu analysieren. Die Datenverarbeitung kann auch erst in Folge gesetzter Cookies stattfinden. Wir geben diese Daten an Dritte weiter, die wir in den Cookie-Einstellungen benennen.

Die Datenverarbeitung kann mit deiner Einwilligung oder auf Basis eines berechtigten Interesses erfolgen, dem du in den Cookie-Einstellungen widersprechen kannst. Du hast das Recht, deine Einwilligung nicht zu erteilen und deine Einwilligung zu einem späteren Zeitpunkt zu ändern oder zu widerrufen. Weitere Informationen über die Verwendung deiner Daten findest du in unserer Datenschutzerklärung

Einige Services verarbeiten personenbezogene Daten in unsicheren Drittländern. Indem du in die Nutzung dieser Services einwilligst, erklärst du dich auch mit der Verarbeitung deiner Daten in diesen unsicheren Drittländern gemäß Art. 49 Abs. 1 lit. a DSGVO einverstanden. Dies birgt das Risiko, dass deine Daten von Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, möglicherweise ohne die Möglichkeit eines Rechtsbehelfs.

Du bist unter 16 Jahre alt? Dann kannst du nicht in optionale Services einwilligen. Bitte deine Eltern oder Erziehungsberechtigten, mit dir in diese Services einzuwilligen.