Wildberries — онлайн-платформа с 19-летней историей. География присутствия площадки охватывает 7 стран мира, в том числе Россию, Белоруссию, Казахстан, Армению и Киргизию. Ежедневно на площадке оформляется более 10 млн заказов, а 80% её продавцов – представители малого и среднего бизнеса.
Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.
Участвовать в программе могут только физические лица, зарегистрированные в качестве индивидуальных предпринимателей или применяющие специальный налоговый режим «налог на профессиональный доход». В программе не могут участвовать сотрудники Wildberries или компаний-партнеров. Участники обязаны соблюдать конфиденциальность в отношении информации об уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.
Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru. Однако максимальные выплаты предусмотрены только за обнаружение проблем на нижеперечисленных ресурсах (далее – Основной скоуп):
При обнаружении недостатков безопасности на иных ресурсах Wildberries (далее – Дополнительный скоуп) размер вознаграждения определяется в меньшем объеме в соответствии с уровнем критичности обнаруженной проблемы и ее характером.
В объем ресурсов для тестирования (за успешное тестирование которых установлено вознаграждение) не входят следующие ресурсы:
Мы выделили несколько отдельных сценариев, за выполнение которых можно получить повышенные выплаты. На текущий момент доступен кейс для портала продавцов.
Предлагается получить полный доступ к личному кабинету тестового продавца - https://www.wildberries.ru/seller/3941172. К ЛК привязан номер телефона +7(993)965-09-70.
В случае реализации данного сценария мы готовы выплатить сумму в размере 500 000 рублей.
Критерии выполнения сценария:
Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.
Общие исключения:
Исключения для веб-приложений:
Исключения для мобильных приложений:
Отчет должен содержать описание одной уязвимости или цепочки связанных уязвимостей и должен включать в себя:
В отчете также должны содержаться:
Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.
Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.
Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:
Уровень критичности | Основной скоуп | Дополнительный скоуп |
---|---|---|
Критический | 60 000 ₽ - 250 000 ₽ | 30 000 ₽ - 125 000 ₽ |
Высокий | 25 000 ₽ - 60 000 ₽ | 15 000 ₽ - 30 000 ₽ |
Средний | 7 500 ₽ - 25 000 ₽ | 3 000 ₽ - 15 000 ₽ |
Низкий | 0 ₽ - 7 500 ₽ | 0 ₽ - 3 000 ₽ |
Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.
Тип уязвимости | Критерии | Основной скоуп | Дополнительный скоуп |
---|---|---|---|
Удаленное исполнение кода (RCE) | Без ограничений по эксплуатации с полноценным доступом во внутреннюю сеть | 200 000 ₽ - 250 000 ₽ | 100 000 ₽ - 125 000 ₽ |
В изолированной инфраструктуре или со значительными ограничениями по эксплуатации | 60 000 ₽ - 80 000 ₽ | 30 000 ₽ - 40 000 ₽ | |
Доступ к чувствительной информации на стороне сервера (инъекции, утечки памяти, IDOR и т.д.) | С раскрытием критичной и особо конфиденциальной информации: карточные данные, сессии, пароли, паспортные данные и т.д. | 150 000 ₽ - 200 000 ₽ | 75 000 ₽ - 100 000 ₽ |
С раскрытием конфиденциальной информации: чувствительный набор персональных данных и т.д. | 60 000 ₽ - 80 000 ₽ | 30 000 ₽ - 40 000 ₽ | |
С раскрытием некритичной информации: обращения, активные сеансы и т.д. | 0 ₽ - 40 000 ₽ | 0 ₽ - 20 000 ₽ | |
Обход аутентификации или выполнение запросов от имени стороннего пользователя | С возможностью выполнять особо критичные действия: вывод денег, смена номера телефона, редактирование стоимости товара и т.д. | 100 000 ₽ - 120 000 ₽ | 50 000 ₽ - 60 000 ₽ |
С возможностью выполнять критичные действия: отмена заказа, небольшое изменение скидки т.д. | 60 000 ₽ - 80 000 ₽ | 30 000 ₽ - 40 000 ₽ | |
С возможностью выполнять некритичные действия: изменение комментариев, отправка сообщений в поддержку и т.д. | 0 ₽ - 40 000 ₽ | 0 ₽ - 20 000 ₽ | |
Подделка запросов на стороне сервера (SSRF) | С возможностью выполнять произвольные запросы во внутреннюю сеть и просматривать содержимое ответов | 80 000 ₽ - 100 000 ₽ | 40 000 ₽ - 50 000 ₽ |
Без возможности просматривать содержимое ответов | 15 000 ₽ - 20 000 ₽ | 5 000 - 10 000 ₽ | |
Межсайтовый скриптинг (XSS) | Stored XSS или Blind XSS | 20 000 ₽ - 30 000 ₽ | 0 ₽ - 15 000 ₽ |
Reflected XSS | 10 000 ₽ - 15 000 ₽ | 3 000 ₽ - 7 500 ₽ | |
Ошибка настройки CORS | 0 ₽ - 25 000 ₽ | 0 ₽ - 10 000 ₽ | |
Подделка межсайтовых запросов (CSRF) | 0 ₽ - 15 000 ₽ | 0 ₽ - 7 500 ₽ |