Bug Bounty

Программа поиска уязвимостей в системах компании Wildberries

Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.

Общие правила

Участвовать в программе могут только физические лица старше 18 лет и являющиеся гражданами РФ.

В программе не могут участвовать:

• Сотрудники Wildberries
• Сотрудники компаний-партнеров

Участники обязаны соблюдать конфиденциальность в отношении информации о найденных уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.

Область действия

Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru, *.wbwh.ru, *.wbbasket.ru, *.wbwh.tech, *.wbheld.ru. Размеры выплат определяются на основании критичности ресурса согласно классификации ниже.

Tier 1

Tier 2

Tier 3

Исключения

В объем ресурсов для тестирования не входит ряд white-label сервисов, например:

• https://vmeste.wildberries.ru/rail
• https://vmeste.wildberries.ru/bus
• https://vmeste.wildberries.ru/ammp
• https://vmeste-hotels.wildberries.ru
• https://vmeste-tours.wildberries.ru
• https://edu.wildberries.ru

Для проверки принадлежности ресурса к Wildberries убедитесь, что его IP-адрес находится в следующих ASN:

• AS49053
• AS57073
• AS201513
• AS201512

Размеры вознаграждений

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:

Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.

Особые сценарии для тестирования

В рамках программы есть особый сценарий для портала продавцов, за реализацию которого предусмотрена максимальная выплата.

Предлагается получить полный доступ к личному кабинету тестового продавца - https://www.wildberries.ru/seller/3941172. К ЛК привязан номер телефона +7(993)965-09-70. В случае реализации данного сценария мы готовы выплатить сумму в размере 500 000 рублей.

Критерии выполнения сценария:

• Получен полный доступ без каких либо ограничений к функциональности ЛК тестового продавца
• Составлено подробное описание шагов реализации
• В отчете предоставлен флаг из неопубликованной карточки товара ("товары" - "карточки товаров - "товар с тэгов flag")
• В отчете предоставлены доказательства удаления существующей карточки товара (https://www.wildberries.ru/catalog/190622575/detail.aspx)

Правила тестирования

1. Допускается использование только собственных учетных записей либо учетных записей пользователей, которые явно выразили свое согласие на такие действия в целях участия в программе.
2. Запрещается получать доступ к аккаунтам третьих лиц или любой конфиденциальной информации.
3. Запрещается любая деятельность, которая может нанести ущерб сервисам Wildberries, ее инфраструктуре, клиентам и партнерам. К числу запрещенных действий, в том числе, относятся: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
4. Для подтверждения наличия уязвимости необходимо использовать минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, участник должен связаться с Wildberries для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
5. Автоматическое сканирование должно быть ограничено 10 запросами в секунду.

Исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.

Общие исключения:

• Проблемы и ошибки, не связанные с безопасностью
• Маловероятные или теоретические атаки без доказательств возможности их осуществления
• Раскрытие публичной пользовательской информации
• Использование устаревшего или потенциально уязвимого ПО
• Фишинг, социальная инженерия и сценарии, требующие физического доступа к жертве
• Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО)
• Необработанные отчеты сканеров уязвимостей и других автоматизированных средств

Исключения для веб-приложений:

• Self XSS
• CSRF для некритичных действий
• Массовая отправка сообщений по электронной почте или через PUSH уведомления
• SSRF с отправкой исключительно DNS запросов
• Clickjacking
• Раскрытие токенов доступа, предназначенных для использования из клиентской части приложения
• Обход средств, противодействующих переборным атакам (например, ротирование ip, распознавание captcha)
• XSS и HTML инъекции на доменах wbbasket.ru
• Получение доступа к тестовым учетным записям без привилегий
• Отсутствие очистки метаинформации в сохранённых файлах/изображениях
• Атаки типа DOS
• Атаки типа User Enumeration
• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
• Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
• Небезопасно сконфигурированные TLS или SSL
• Уязвимости, затрагивающие только тех пользователей, которые используют необновленные версии браузеров

Исключения для мобильных приложений:

• Возможность обратной разработки мобильных приложений
• Отсутствие реакции со стороны мобильного приложения на устройство с root правами или jailbreak
• Отсутствие SSL-пиннинга сертификатов или ключей
• Отсутствие защитных флагов нативных библиотек
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root прав или jailbreak на устройстве
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth или Wi-Fi)

Работа с дубликатами

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.

Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Прием отчетов

Информация о найденных уязвимостях должна быть направлена в виде отчета на forms.wb.ru c указанием электронного почтового адреса для обратной связи. Приветствуется максимально подробное описание уязвимости с указанием способа воспроизведения и эксплуатации.