Was ist Open Bug Bounty
Das Open Bug Bounty Projekt ist eine Platform welche Website Betreibern ermöglicht auf transparente, faire und koordinierte Weise Hilfe und Unterstützung von Sicherheitsforschern zu erhalten, um Webandwendungen sicherer zu machen.
Ich bin dort mehr oder weniger aktiv seit dem Jahr 2016. Man benötigt nur einen Twitter Account um sich auf der Seite zu registrieren.
Nun benötigt man noch ein wenig Kenntnisse im Bereich Web Sicherheit um die Webseiten auf Sicherheitslücken abzuklopfen.
Seit 2016 habe ich aktuell 131 Sicherheitslücken auf Open Bug Bounty gemeldet, 82 Sicherheitslücken davon wurden von den jeweiligen Website Betreiben beseitigt. Die Betreiber werden automatisch kontaktiert, leider sind noch immer genug Seiten auf Open Bug Bounty registriert bzw. viele Seiten sind ohne Kontaktinformation.
Nachdem eine Lücke gemeldet wurde wird der Betreiber automatisch benachrichtigt. Sind keine Kontaktinformation hinterlegt kann dies auch händisch geschehen. Dieser kann sich dann mit dem Finder der Lücke in Verbindung setzen und gemeinsam daran arbeitet die Lücke zu beseitigen.
Die Lücken werden einen bestimmten Zeitraum bis zur Beseitigung der Lücke vertraulich behandelt. Nach dem die Lücke behoben wurde oder der Zeitraum abgelaufen ist, kann jeder die Lücke einsehen.
Viele Lücken auf Open Bug Bounty werden automatisiert gesucht und gemeldet. Meine Lücken die ich gefunden habe sind beim normalen Surfen aufgefallen. Einige davon waren Lücken in einem CMS (Content-Management-System) dadurch konnte ich die gleiche Lücke auf verschiedenen Seiten finden und melden.
Bei Sicherheitslücken auf größeren Seiten besteht die Möglichkeit eine Belohnung vom Betreiber der Seite zu erhalten, dies gehört aber nicht zur Regel und sollte auch nicht die Intention sein.