[Owasp-germany] Bug-Bounty während Pentest??

Dirk Wetter dirk at owasp.org
Fri Nov 27 10:06:42 UTC 2015


Hallo,

folgendes virtuelles Szenario: Dienstleister D macht Pentest bei Kunden K.

D findet Bug in Software, die nicht von K stammt, sondern von Dritten ist,
die einem Bug-Bounty-Programm unterliegt. Der Vertrag (Dienst- oder
Werkvertrag) zwischen K und D deckt diesen Fall nicht ab.

Abgesehen, dass das ein gemeinsam zu klärender Punkt unter K und D ist, wem
steht rechtlich das Bounty zu:

* K, weil der bezahlt ja D
* D, weil der hats gefunden
* <something else>

Wäre für Feedback (gerne PM) dankbar.

Viele Grüße, Dirk





More information about the Owasp-germany mailing list