Articles

5. Recon für Einsteiger — wie du die ersten Schwachstellen findest

Ein ausführlicher, praxisorientierter Leitfaden für Einsteiger in Bug Bounty / Pentesting. Fokus: strukturierte Recon, sichere Testumgebung, praktische Tools & Beispiel-Workflows.

4. Dein erstes Bug-Bounty-Programm – Scope lesen und verstehen

Viele Einsteiger im Bug Bounty Hunting stellen sich dieselbe Frage: Wo fange ich an?

3. Bug Bounty Hunting – Tipps für den Einstieg

Bug Bounty Hunting klingt nach schnellem Geld – aber die Wahrheit ist: Es ist ein Marathon, kein Sprint.

2. XSS never dies

Warum XSS nie aussterben wird.

1. ROP in einer Format-String Schwachstelle

Analyse einer ROP-chain bei einer Format-String Schwachstelle im Rahmen.

4. Dein erstes Bug-Bounty-Programm – Scope lesen und verstehen

Planted September 12, 2025

Logo

Dein erstes Bug-Bounty-Programm – Scope lesen und verstehen

Viele Einsteiger im Bug Bounty Hunting stellen sich dieselbe Frage: Wo fange ich an?

Das Finden der ersten Schwachstellen ist schon Herausforderung genug – doch bevor du überhaupt testen darfst, musst du eines wirklich verstanden haben: den Scope.

Der Scope definiert, was du testen darfst und was tabu ist. Klingt simpel, führt aber gerade am Anfang oft zu Missverständnissen. Wer das ignoriert, riskiert im schlimmsten Fall einen Report, der abgelehnt wird – oder sogar Ärger mit dem Programm.

Public vs. Private Programme

Wenn du auf Plattformen wie HackerOne, Bugcrowd oder Intigriti unterwegs bist, wirst du zwei Arten von Programmen sehen:

  • Public: Alle können teilnehmen. Perfekt für den Einstieg, um erste Erfahrungen zu sammeln.
  • Private: Nur mit Einladung. Hier sind meist weniger Teilnehmer aktiv, die Chancen sind höher – aber du musst erst einmal hineinkommen.

👉 Tipp: Gerade am Anfang sind Public-Programme gut, um Routine aufzubauen. Selbst wenn du „nur“ Duplicates findest, sammelst du Punkte, baust Reputation auf und erhöhst deine Chance, irgendwann in Private-Programme eingeladen zu werden.

Scope – was darfst du testen?

Der Scope ist der Rahmen des Programms. Typische Formulierungen sind zum Beispiel:

  • *.example.com → alle Subdomains von example.com sind erlaubt
  • app.example.com → nur diese konkrete Subdomain ist erlaubt
  • example.com/api/v1/* → nur ein bestimmter API-Bereich ist erlaubt

Wichtig:

  • Lies den Scope immer sehr genau.
  • Achte auf den Unterschied zwischen in-scope und out-of-scope.
  • „Out-of-scope“ heißt wirklich tabu. Wenn du dort trotzdem testest, riskierst du nicht nur eine Ablehnung, sondern ggf. auch eine Sperre.

Typische Stolperfallen

Gerade am Anfang gibt es einige Klassiker:

  1. Wildcard-Verwirrung:
    Wenn im Scope *.example.com steht, ist test.example.com erlaubt – aber nicht example.net oder example.org.
  2. Third-Party-Dienste:
    Viele Firmen nutzen externe Systeme (z. B. Cloudflare, Zahlungsanbieter, Helpdesk-Software). Meist sind diese out-of-scope, außer es steht explizit im Scope, dass auch Drittanbieter getestet werden dürfen.
  3. Mobile Apps:
    Nur weil ein Unternehmen eine App im App Store hat, heißt das nicht, dass du sie testen darfst. Wenn im Scope nur „Website“ steht, lass die Finger von der App.

Wie wählst du ein Programm für den Start?

  • Nicht zu groß: Große Programme mit Wildcards (*.company.com) klingen verlockend, sind aber für Einsteiger oft überwältigend. Fang lieber klein an.
  • Technologien, die du verstehst: Wenn du dich mit Web-Apps wohlfühlst, starte nicht mit IoT oder mobilen Apps.
  • Aktive Programme: Achte darauf, ob ein Programm viele kürzlich gemeldete Schwachstellen hat. Das zeigt, dass das Programm gepflegt wird und Reports ernst nimmt.

Praxis-Tipp: Lies auch die Policies

Neben dem Scope haben Programme oft noch Policies, die weitere Details enthalten:

  • Was wird belohnt (z. B. XSS, IDOR, SQLi)?
  • Was wird nicht belohnt (z. B. „low impact“ Issues wie SPF/DMARC oder Self-XSS)?
  • Welche rechtlichen Hinweise gibt es?

👉 Viele Einsteiger überlesen das. Aber: Je genauer du die Regeln kennst, desto weniger Frust erlebst du bei deinen ersten Reports.

Scope = dein Spielfeld

Du kannst dir den Scope wie ein Spielfeld vorstellen:

  • Alles, was in-scope ist → dein Spielplatz.
  • Alles, was out-of-scope ist → rote Karte, Finger weg.

Wenn du das verstanden hast, vermeidest du nicht nur unnötige Ablehnungen, sondern zeigst auch den Programmbetreibern, dass du professionell arbeitest.

Verweise & weiterführende Inhalte

  • YouTube: Bug Bounty vs. Pentest → hier erkläre ich die Unterschiede noch einmal detailliert:

  • Bald: Nächster Artikel in dieser Serie → „Recon für Einsteiger – wie du die ersten Schwachstellen findest“

Fazit

Der Scope ist mehr als nur ein Formalismus – er ist dein Leitfaden im Bug Bounty Hunting. Wer ihn versteht, spart sich unnötige Enttäuschungen, Reports ins Leere und zeigt gleichzeitig Professionalität.

Mein Tipp:
Nimm dir am Anfang wirklich die Zeit, einen Scope gründlich zu studieren. Lies nicht nur die Hauptseite, sondern auch die Policies. Genau da verstecken sich oft die entscheidenden Hinweise.

Bug Bounty Hunting ist kein Sprint, sondern ein Marathon – und das Wissen um den Scope ist dein erster Schritt, diesen Weg richtig zu gehen.