Skip to content

Bug-Bounty-Programm

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Melden Sie Schwachstellen und verdienen Sie Belohnungen bis zu 2.000 $ für die Sicherheit von JieGou.

Geltungsbereich

Systeme im Geltungsbereich

console.jiegou.ai — Hauptanwendung
mcp.jiegou.ai — MCP-Server
jiegou.ai — Marketing-Website
JieGou Chrome-Erweiterung — Browser-Erweiterung (Chrome Web Store)

Außerhalb des Geltungsbereichs

  • Drittanbieterdienste (Firebase, AWS, Stripe, LLM-Anbieter)
  • Social-Engineering-Angriffe gegen JieGou-Mitarbeiter
  • Denial-of-Service-(DoS/DDoS)-Angriffe
  • Physische Sicherheitsangriffe
  • Automatisierte Scans ohne vorherige Genehmigung
  • Jegliche Tests, die die Dienstverfügbarkeit beeinträchtigen könnten

Belohnungsstufen

Kritisch $500 – $2,000
  • Remote Code Execution (RCE)
  • Authentifizierungsumgehung
  • SQL/NoSQL-Injection mit Datenzugriff
  • Privilegieneskalation (Viewer zu Admin/Owner)
  • Unautorisierter kontoübergreifender Zugriff auf Kundendaten
Hoch $200 – $500
  • Cross-Site-Scripting (XSS) mit nachgewiesener Auswirkung
  • Cross-Site-Request-Forgery (CSRF) bei sensiblen Aktionen
  • Server-Side-Request-Forgery (SSRF)
  • Unsichere direkte Objektreferenzen (IDOR) mit sensiblen Daten
  • API-Schlüssel oder Zugangsdaten in Antworten
Mittel $50 – $200
  • Informationspreisgabe (Stacktraces, Debug-Infos, interne IPs)
  • Fehlende Sicherheitsheader mit nachgewiesenem Exploit-Pfad
  • Session-Fixierung
  • Subdomain-Übernahme
Niedrig Anerkennung
  • Fehlende Best-Practice-Header ohne Exploit-Pfad
  • Clickjacking auf nicht-sensiblen Seiten
  • Ausführliche Fehlermeldungen ohne sensible Daten
  • SSL/TLS-Konfigurationsverbesserungen

Teilnahmeregeln

  1. 1 Greifen Sie nicht auf Kundendaten zu, ändern oder löschen Sie diese nicht. Wenn Sie versehentlich auf Kundendaten zugreifen, stoppen Sie sofort und melden Sie es.
  2. 2 Führen Sie keine Aktionen durch, die die Dienstverfügbarkeit beeinträchtigen könnten (keine Lasttests, DoS, Ressourcenerschöpfung).
  3. 3 Verwenden Sie nur dedizierte Testkonten. Erstellen Sie Ihr eigenes Konto zum Testen; testen Sie nicht gegen die Konten anderer Benutzer.
  4. 4 Melden Sie Schwachstellen zeitnah und gewähren Sie angemessene Zeit für die Behebung vor der öffentlichen Offenlegung.
  5. 5 Verwenden Sie keine automatisierten Scanner gegen Produktionssysteme ohne vorherige schriftliche Genehmigung.
  6. 6 Halten Sie alle geltenden Gesetze ein.

So melden Sie

Berichte senden an

security@jiegou.ai

Bitte fügen Sie bei

  • Beschreibung der Schwachstelle
  • Schritt-für-Schritt-Reproduktionsanweisungen
  • Proof of Concept (Screenshots, Videos oder Code)
  • Auswirkungsbewertung
  • Vorgeschlagene Behebung (optional)
  • Ihre Kontaktdaten für Rückfragen

Reaktionszeitplan

1
Eingangsbestätigung
48 Stunden
2
Triage und Schweregradbewertung
5 Werktage
3
Behebung (Kritisch)
7 Tage
4
Behebung (Hoch)
30 Tage
5
Behebung (Mittel/Niedrig)
90 Tage
6
Belohnungszahlung
30 Tage nach Verifizierung der Behebung

Safe Harbor

JieGou wird keine rechtlichen Schritte gegen Forscher einleiten, die:

  • Diese Richtlinie und die Teilnahmeregeln befolgen
  • Schwachstellen in gutem Glauben melden
  • Schwachstellen nicht über das zur Demonstration Notwendige hinaus ausnutzen
  • Keine Kundendaten zugreifen, ändern oder exfiltrieren

Dieses Programm begründet kein Arbeits- oder Auftragsverhältnis. Belohnungen werden nach Ermessen von JieGou basierend auf Schweregrad, Auswirkung und Qualität des Berichts festgelegt. JieGou behält sich das Recht vor, dieses Programm jederzeit zu ändern oder zu beenden.

security@jiegou.ai Zurück zu Sicherheit