Articles

6. Duplicates im Bug Bounty: Warum sie nicht so schlecht sind

Auch wenn Duplicates im Bug Bounty zunächst enttäuschen, sind sie oft der Schlüssel zu Reputation, Private Invites und langfristigem Erfolg.

5. Recon für Einsteiger — wie du die ersten Schwachstellen findest

Ein ausführlicher, praxisorientierter Leitfaden für Einsteiger in Bug Bounty / Pentesting. Fokus: strukturierte Recon, sichere Testumgebung, praktische Tools & Beispiel-Workflows.

4. Dein erstes Bug-Bounty-Programm – Scope lesen und verstehen

Viele Einsteiger im Bug Bounty Hunting stellen sich dieselbe Frage: Wo fange ich an?

3. Bug Bounty Hunting – Tipps für den Einstieg

Bug Bounty Hunting klingt nach schnellem Geld – aber die Wahrheit ist: Es ist ein Marathon, kein Sprint.

2. XSS never dies

Warum XSS nie aussterben wird.

1. ROP in einer Format-String Schwachstelle

Analyse einer ROP-chain bei einer Format-String Schwachstelle im Rahmen.

6. Duplicates im Bug Bounty: Warum sie nicht so schlecht sind

Planted September 28, 2025

Logo

Der erste Schockmoment

Wer ins Bug Bounty Hunting einsteigt, kennt das Gefühl: Man verbringt Stunden damit, eine Anwendung zu untersuchen, probiert verschiedene Angriffsmethoden aus, testet Payloads, analysiert Requests – und dann endlich der Durchbruch. Man entdeckt eine Schwachstelle, schreibt den Report, reicht ihn voller Stolz ein … nur um wenige Stunden später die Nachricht zu bekommen: Duplicate.

Für viele ist das zunächst ein Dämpfer. Denn ein Duplicate bedeutet, dass ein anderer Hacker die gleiche Schwachstelle bereits gemeldet hat – und man selbst dafür keinen finanziellen Reward bekommt. Das wirkt auf den ersten Blick unfair, schließlich hat man ja genauso Zeit und Energie in die Suche gesteckt. Doch wer länger dabei bleibt, merkt schnell: Duplicates sind kein Weltuntergang. Im Gegenteil, sie gehören zum Bug Bounty dazu und können sogar Chancen eröffnen.

Warum Duplicates völlig normal sind

Gerade auf großen Plattformen wie Bugcrowd, HackerOne oder YesWeHack ist es völlig normal, dass mehrere Forscher denselben Fehler finden. Besonders bei beliebten Angriffsklassen wie Cross-Site-Scripting (XSS), SQL Injection oder IDOR liegt es in der Natur der Sache, dass viele Jäger die gleichen Endpunkte überprüfen.

Das ist nicht unbedingt ein Zeichen dafür, dass man etwas falsch macht – im Gegenteil, es zeigt, dass man auf dem richtigen Weg ist und die gleichen Gedankengänge hat wie erfahrene Hunter.

Bugcrowd und YesWeHack: Punkte trotz Duplicate

Und das Spannende ist: Auch wenn kein Geld fließt, verschwindet die Arbeit nicht im Nichts.

Bugcrowd etwa markiert Duplicates als valid Reports. Das bedeutet, dass man offiziell dafür anerkannt wird, eine echte Schwachstelle gefunden zu haben. Diese Validierung fließt in die eigene Reputation ein und wirkt sich auf das Ranking aus. Je aktiver und treffsicherer man ist, desto größer wird die Chance, für private Programme eingeladen zu werden. Genau dort ist die Konkurrenz kleiner und die Wahrscheinlichkeit auf einen Reward deutlich höher.

YesWeHack geht noch einen Schritt weiter und belohnt Duplicates indirekt: Dort bekommt man 25 Prozent der Punkte des ursprünglichen Reports, wenn die eigene Meldung ein Duplicate ist. Auch das zeigt, dass die Plattform die Leistung der Forscher anerkennt, selbst wenn man nicht der Erste war. Solche Punkte wirken sich wiederum positiv auf das eigene Profil aus und können ebenfalls den Weg in exklusive Programme ebnen.

Persönliche Erfahrung: Mein erster Report war ein Duplicate

Aus meiner eigenen Erfahrung weiß ich, dass gerade die ersten Duplicates prägend sein können. Mein allererster Report auf Bugcrowd war ein XSS – und er war ein Duplicate. Natürlich war ich im ersten Moment enttäuscht, keinen Reward zu bekommen. Doch er wurde als valid markiert, ich sammelte Punkte – und kurz darauf erhielt ich meine erste Einladung in ein privates Programm.

Ohne diesen Duplicate wäre der Weg dorthin vermutlich länger gewesen.

Duplicates als Meilenstein

Das zeigt: Ein Duplicate ist nicht das Ende, sondern eher ein Meilenstein. Es beweist, dass man mit seiner Methodik etwas richtig macht. Viele erfahrene Hunter sagen sogar, dass Duplicates eine Art Bestätigung sind – denn wenn man ständig Findings einreicht, die als „not applicable“ oder „informational“ abgelehnt werden, ist das frustrierender, als einen Duplicate zu haben.

Ein Duplicate bedeutet: Die Schwachstelle war real, du hast sie korrekt erkannt, nur war jemand anders schneller.

Fazit: Mehr Chance als Niederlage

Letztlich sind Duplicates ein Teil des Spiels. Bug Bounty ist hochkompetitiv, und es wird immer wieder passieren, dass andere Forscher denselben Bug finden. Aber jedes Duplicate bringt dich ein Stück weiter. Es steigert deine Reputation, verbessert dein Ranking, und es zeigt dir, dass du dich auf dem richtigen Pfad befindest.

Wer also anfangs mehrere Duplicates kassiert, sollte das nicht als Niederlage sehen, sondern als eine Art Eintrittskarte in die Bug-Bounty-Welt. Denn jede valide Meldung, auch wenn sie „nur“ ein Duplicate ist, schärft dein Profil und bringt dich näher zu deinem ersten großen Fund.