Flowwow
Company: FlowwowFlowwow — маркетплейс цветов и подарков, который объединяет более 16 тысяч локальных продавцов. Площадка специализируется на быстрой доставке цветов, тортов, сладостей и разнообразных подарков из магазинов в 1 200 городах России и мира.
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
ПРОГРАММА
Миссия Flowwow — дарить радость с помощью цветов, сладостей и товаров от локальных брендов даже на расстоянии, объединяя тысячи локальных брендов и сотни тысяч покупателей. Мы стремимся обеспечить не только удобство, но и максимальную безопасность для всех, кто доверяет нам свои заказы и данные.
Мы понимаем, что ни одна система не идеальна, и именно поэтому мы запустили программу Bug Bounty. Мы верим в силу сообщества и приглашаем талантливых исследователей со всего мира стать нашими партнерами в укреплении защиты платформы.
Ваша помощь бесценна для создания безопасной среды для миллионов пользователей. Присоединяйтесь к программе и помогите нам находить и устранять уязвимости до того, как они смогут навредить.
Мы понимаем, что ни одна система не идеальна, и именно поэтому мы запустили программу Bug Bounty. Мы верим в силу сообщества и приглашаем талантливых исследователей со всего мира стать нашими партнерами в укреплении защиты платформы.
Ваша помощь бесценна для создания безопасной среды для миллионов пользователей. Присоединяйтесь к программе и помогите нам находить и устранять уязвимости до того, как они смогут навредить.
ПРАВИЛА ИДЕНТИФИКАЦИИ ТРАФИКА
Во время проведения исследования трафик, сгенерированный участниками программы, может быть классифицирован как вредоносный. В связи с этим, необходимо использование VPN. https://api.standoff365.com/api/bug-bounty/program/docs/2a2ba9bc-60fd-4b6b-956e-38eef48749d4
СКОУП
https://flowwow.com/ – основной домен компании;*
apis.flowwow.com – домен третьего уровня;*
envio.flowwow.com – домен третьего уровня;*
api2.flowwow.com – домен третьего уровня;*
api-shop.flowwow.com – домен третьего уровня;*
api-email.flowwow.com – домен третьего уровня;*
clientweb.flowwow.com – домен третьего уровня;*
envio.flowwow.com – домен третьего уровня;*
api2.flowwow.com – домен третьего уровня;*
api-shop.flowwow.com – домен третьего уровня;*
api-email.flowwow.com – домен третьего уровня;*
clientweb.flowwow.com – домен третьего уровня;*
Мобильное приложение: iOS:
Flowwow: Flowers & Gifts https://apps.apple.com/us/app/flowwow-flowers-gifts/id1201155481
Hoog - https://apps.apple.com/ru/app/hoog-система-учета/id1670351411
Hoog — это ERP-система, с помощью которой продавцы могут вести базовый учет товаров и оптимизировать свои бизнес-процессы.
Hoog - https://apps.apple.com/ru/app/hoog-система-учета/id1670351411
Hoog — это ERP-система, с помощью которой продавцы могут вести базовый учет товаров и оптимизировать свои бизнес-процессы.
Android:
Приложения в Google Play – Flowwow: цветы и подарки https://play.google.com/store/apps/details?id=com.flowwow&hl=ru&pli=1
Приложения в Google Play – Flowwow Seller: для продавцов https://play.google.com/store/apps/details?id=com.fwapp&hl=ru
Hoog - система учета - Apps on Google Play https://play.google.com/store/apps/details?id=com.hoog.prod
Приложения в Google Play – Flowwow для курьеров https://play.google.com/store/apps/details?id=com.fwdelivery&hl=ru
Приложения в Google Play – Flowwow Seller: для продавцов https://play.google.com/store/apps/details?id=com.fwapp&hl=ru
Hoog - система учета - Apps on Google Play https://play.google.com/store/apps/details?id=com.hoog.prod
Приложения в Google Play – Flowwow для курьеров https://play.google.com/store/apps/details?id=com.fwdelivery&hl=ru
Пожалуйста, перед отправкой отчета убедитесь, что скоуп действия найденной проблемы соответствует заявленному в программе. Если скоуп не соответствует целевому, но вы считаете, что найденная вами проблема стоит того, чтобы обратить на нее внимание, отправьте свой отчет на платформе Standoff365 (не по электронной почте или другими каналами) и включите пару предложений, где вы опишете свое мнение относительно применимости.
ВАЖНО!
Запрещена публикация или раскрытие деталей отчетов без согласования с командой информационной безопасности Flowwow.
Команда информационной безопасности Flowwow оставляет за собой право отклонить любой запрос на публичное раскрытие отчета.
Запрещена публикация или раскрытие деталей отчетов без согласования с командой информационной безопасности Flowwow.
Команда информационной безопасности Flowwow оставляет за собой право отклонить любой запрос на публичное раскрытие отчета.
ПРИОРИТЕТНЫЕ УЯЗВИМОСТИ
Наиболее приоритетным для нас является поиск критичных уязвимостей на стороне сервера. Однако, мы будем рады рассмотреть отчеты о любых уязвимостях, эксплуатация которых может негативно сказаться на нашей компании и ее работе. Перед составлением отчета мы рекомендуем вам ознакомиться с базовыми списками интересующих нас уязвимостей. Также обратите внимание, что мы выделили перечень уязвимостей, которые мы не вознаграждаем в рамках данной программы.
Удаленное исполнение кода (RCE);
Инъекции (например, SQL-инъекции или XML-инъекции);
SSRF;
Утечки памяти;
Уязвимости бизнес-логики;
IDOR;
Уязвимости контроля доступа;
Раскрытие чувствительной информации;
Угон аккаунта;
Недостатки аутентификации/авторизации;
XSS и CSRF с воздействием на чувствительные данные.
УЯЗВИМОСТИ, НЕ ПРЕТЕНДУЮЩИЕ НА ВОЗНАГРАЖДЕНИЕ
- Отчеты сканеров уязвимостей и других автоматизированных инструментов;
- Раскрытие информации, не являющейся конфиденциальной, например версия продукта;
- Раскрытие публичной информации о пользователе, например nickname;
- Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
- Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
- Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
- Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
- Уязвимости партнерских продуктов или сервисов;
- Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
- Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
- Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
- Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
- Гомографические атаки IDN;
- XSPA (сканирование IP/портов во внешние сети);
- Инъекция формул Excel CSV;
- Скриптинг в документах PDF;
- Self-XSS;
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
- Теоретические атаки без доказательства возможности использования;
- Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд);
- Возможность отправки большого количества сообщений;
- Возможность отправки спама или файла вредоносного ПО;
- Раскрытие информации через внешние ссылки, не контролируемые компанией;
- Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
- Сообщения о возможных DDOS-атаках;
- Информацию об IP-адресах, DNS-записях и открытых портах;
- Раскрытие частных IP-адресов или доменов, указывающих на частные IP-адреса;
- Отчеты сканеров уязвимостей и других автоматизированных средств;
- Сообщения о публично доступных панелях входа;
ОФОРМЛЕНИЕ ОТЧЕТОВ
В отчете также должны содержаться:
URL уязвимого приложения;
Тип обнаруженной уязвимости;
Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
Пример форматированного запроса из BurpSuite (или любой другой POC);
В некоторых случаях куски кода.
Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.
Вся информация о найденной уязвимости (включая вложения) должна храниться только в отчете, который вы отправляете. Не размещайте ее на внешних ресурсах.
URL уязвимого приложения;
Тип обнаруженной уязвимости;
Скриншоты или видеозапись, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения;
Пример форматированного запроса из BurpSuite (или любой другой POC);
В некоторых случаях куски кода.
Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.
Вся информация о найденной уязвимости (включая вложения) должна храниться только в отчете, который вы отправляете. Не размещайте ее на внешних ресурсах.
КАК СОСТАВИТЬ ХОРОШИЙ ОТЧЕТ?##
Один отчет должен описывать одну уязвимость. Исключением являются те случаи, когда уязвимости либо связаны между собой, либо их можно скомбинировать в цепочку.
Хороший отчет об уязвимости должен включать в себя следующие составляющие:
Описание уязвимости;
CVE
Анализ уровня критичности по CVSS 3.1;
Шаги воспроизведения;
Анализ критичности;
Рекомендации по устранению.
Хороший отчет об уязвимости должен включать в себя следующие составляющие:
Описание уязвимости;
CVE
Анализ уровня критичности по CVSS 3.1;
Шаги воспроизведения;
Анализ критичности;
Рекомендации по устранению.
ЗАПРЕЩЕННЫЕ ДЕЙСТВИЯ
В случае, если вы будете проводить исследования, прибегая к запрещенным методам и инструментам, мы оставляем за собой право лишить вас вознаграждения или исключить из программы. Таким образом, нарушение правил грозит вам лишением награды, которое вы могли бы получить за свою работу, или исключением из данной и любых других программ Flowwow без возможности восстановления.
- Запрещено использование методов социальной инженерии, в том числе: фишинга, вишинга, смишинга, и др.;
- Физические атаки на компанию и ее инфраструктуру запрещены;
- Запрещено использование чужих аккаунтов: взлом и проникновение в учетные записи пользователей без их согласия недопустимо;
- При получении доступа к конфиденциальной информации запрещено ее копирование, хранение и передача: все копии, сделанные вами в процессе тестировки, должны быть возвращены нашей команде безопасности;
- Эксплуатация уязвимостей после завершения работ по тестированию запрещена;
- Используйте базовые команды для демонстрации эксплуатации обнаруженной вами уязвимости: атаки, направленные на вывод систем из работы (например, DDoS) запрещены.
ПРАВИЛА ТЕСТИРОВАНИЯ
При тестировании обнаруженных проблем, мы просим вас придерживаться следующих правил:
- Используйте только собственные учетные записи;
- Не нарушайте конфиденциальность, целостность и доступность информации в наших сервисах во время тестирования;
- Не совершайте действия, которые могут нанести ущерб компании, ее инфраструктуре, клиентам и партнерам;
- Используйте базовые команды для POC или другие минимальные доказательства наличия уязвимости в системе;
- Свяжитесь с нами, если вы понимаете, что для дальнейшего тестирования вам необходимо нарушить эти правила.
Предоставляются ли учетные данные для тестирования?
Мы не выдаем дополнительные доступы и учетные данные (включая тестовые). Используйте собственные аккаунты для проведения тестирования.
Как и в какие сроки проверяются отчеты?
Отчеты об уязвимостях проверяются нашей внутренней командой безопасности. Время ответа зависит от загруженности, однако мы стараемся прикладывать все усилия, чтобы обработать запрос в течение 2 (двух) недель.
Репорты в статусе "Недостаточно информации от хакера" без активности в течение месяца закрываются на усмотрение команды безопасности.
Репорты в статусе "Недостаточно информации от хакера" без активности в течение месяца закрываются на усмотрение команды безопасности.
ПРАВИЛА РАСКРЫТИЯ ИНФОРМАЦИИ
- Отправляйте отчеты только через форму на платформе;
- Не раскрывайте информацию о найденной вами уязвимости публично без разрешения команды безопасности.
В случае нарушения данных правил, мы будем вынуждены исключить вас из списка участников данной и любых других программ Flowwow, а также принять меры, соответствующие УК РФ.
ПРАВИЛА ОПРЕДЕЛЕНИЯ КРИТИЧНОСТИ
Мы оставляем за собой право принятия окончательного решения о том, насколько серьезной является найденная уязвимость. Когда мы получаем отчет, мы проводим внутреннее расследование и определяем уровень ее критичности учитывая несколько факторов:
- Какие привилегии нужны злоумышленнику для атаки;
- Насколько сложно обнаружить и использовать уязвимость;
- Нужно ли взаимодействие с пользователем для атаки;
- Как уязвимость влияет на безопасность данных и доступность;
- Какие риски она представляет для бизнеса и репутации компании;
- Сколько пользователей подвергнется риску из-за уязвимости.
Мы учитываем все эти и другие факторы, чтобы принять решение и определить приоритеты в оценке уязвимости.
ПРАВИЛА РАБОТЫ С ДУБЛИКАТАМИ
Мы вознаграждаем только первый полученный отчет, который содержит все необходимые сведения для воспроизведения уязвимости. Повторные отчеты, касающиеся той же уязвимости, будут отмечены как дубликаты. Такие отчеты не могут претендовать на вознаграждение.
Отчеты, содержащие описания похожих векторов атак, также будут отмечены как дубликаты, если команда безопасности сочтет, что информации из первого отчета достаточно для исправления всех обнаруженных векторов эксплуатации уязвимости.
Оригинальным отчетом может быть отчет другого исследователя или внутренней команды безопасности компании.
ВОЗНАГРАЖДЕНИЕ
1. Критический от 50 000 до 70 000 рублей;
2. Высокий от 20 000 до 50 000 рублей;
3. Средний от 10 000 до 20 000 рублей;
4. Низкий от 5 000 до 10 000 рублей;
5. Информативный баллы программы.
Вознаграждение выплачивается только в случае, если команда безопасности Flowwow посчитает, что все условия правил выполнены и выявленная уязвимость является значимой.