Adobe-Programm „Bug Bounty“.

Eine Schwachstelle melden.

Alle Berichte werden von HackerOne und den Produktsicherheits-Teams von Adobe geprüft und validiert. Um unsere Untersuchung und Auszahlungen zu beschleunigen, halte dich bitte an diese Richtlinien:

• Beschreibe bei der Meldung einer Schwachstelle klare, reproduzierbare Schritte und gib dabei die folgenden Details an:
  • Schritt-für-Schritt-Anleitung: Beschreibe jeden Schritt, der zur Reproduktion des Problems nötig ist, vom Log-in (falls zutreffend) bis zum Auslösen der Schwachstelle.
  • Spezifische URLs & Endpunkte: Gib genau an, wo das Problem auftritt, einschließlich API-Endpunkten.
  • Erwartetes vs. tatsächliches Verhalten: Beschreibe klar, was passieren sollte und was aufgrund der Schwachstelle stattdessen passiert.
  • Screenshots und Videos (wenn möglich): Visuelle Belege helfen dabei, die Schritte und Auswirkungen nachzuvollziehen.
  • Payloads und Code-Snippets: Bei Eingabeinjektionen (zum Beispiel XSS, SQLi) gib bitte den exakten Payload an, den du verwendet hast.
  • Browser-/Umgebungsdetails: Gib das Betriebssystem, die Browser-Version oder die Tools an, die zur Reproduktion des Problems verwendet wurden.
  • Erforderliche Vorbedingungen: Notiere alle notwendigen Kontoberechtigungen, Konfigurationen und Einstellungen, die zum Auslösen der Schwachstelle erforderlich sind.
• Füge einen Proof-of-Concept (PoC) bei – idealerweise als Video – und ergänze ihn um einen eigenen Abschnitt zu den Auswirkungen. So lässt sich die Meldung deutlich schneller prüfen und validieren.
• Fasse alle betroffenen Hosts in einer einzigen Meldung zusammen, wenn die gleiche Schwachstelle mehrere Hosts innerhalb desselben Assets oder derselben Domain betrifft. Prämien werden pro individueller Schwachstelle vergeben, nicht pro betroffenem Host. Bei Einreichung von Duplikaten wird nur die erste gültige Meldung berücksichtigt, während spätere Meldungen als Duplikate gekennzeichnet werden.
• Verwende PGP-Verschlüsselung für sensible Meldungen. Den PGP-Schlüssel findest du hier.
• Bitte lies dir unsere Nutzungsbedingungen auf der Programmseite durch.

Eine vollständige Liste der Anforderungen für Meldungen findest du in den Teilnahmeregeln auf der Programmseite.

Hall of Fame für Sicherheitsforscherinnen und -forscher.

Sammle Punkte für die Hall of Fame, um deine Ranglistenposition zu verbessern und besondere Anerkennung für deine Beiträge zu erhalten.

Was ist die Hall of Fame für Sicherheitsforscherinnen und -forscher?
Die Hall of Fame für Sicherheitsforscherinnen und -forscher ist eine Initiative, mit der wir die engagiertesten Expertinnen und Experten auszeichnen – Menschen, die mit außergewöhnlichem Einsatz dazu beigetragen haben, den Schutz unserer Produkte, Services und Kundinnen und Kunden spürbar zu verbessern.

Wir laden alle Sicherheitsforscherinnen und -forscher – vom Hobby-Anwender bis zur hauptberuflichen ethischen Hackerin – ein, an der Hall of Fame teilzunehmen, indem sie im Rahmen des Adobe-Programms „Bug Bounty“ eine Schwachstelle melden.

Wie verdiene ich Punkte?
Forscherpunkte werden für jede gültige Meldung zum Programm „Bug Bounty“ vergeben. Die Forscherpunkte werden für eine Endwertung am Ende jeder Testperiode zusammengerechnet. Um allen die gleiche Chance zu geben, werden die Forscherpunkte zu Beginn jeder Testperiode zurückgesetzt.

Wie funktioniert der Bewertungsprozess?
Für jede gültige Meldung an das Adobe-Programm „Bug Bounty“ gibt es Hall-of-Fame-Punkte basierend auf der unten stehenden Tabelle. Es gelten die Standardrichtlinien und Ausschlüsse von Adobe.

Welche Belohnungen erwarten dich?
Nach jeder Testphase werden die Gesamtpunkte aller teilnehmenden Forscherinnen und Forscher ermittelt und die Top 10 bekannt gegeben. Neben der Ehrung in unserer Hall of Fame dürfen sich alle Forscherinnen und Forscher in den Top 10 eine der folgenden Belohnungen aussuchen (Änderungen vorbehalten, neue spannende Optionen folgen in Kürze):