Wildberries

Компания — Wildberries
Wildberries — международная платформа электронной коммерции и логистики. С 2003 года развивает удобную площадку с широким выбором товаров, а также сопутствующие сервисы: финтех, путешествия, цифровая дистрибуция.
Помогает предпринимателям в России и за рубежом развивать свой бизнес и находить клиентов. Каждый день 270 тысяч сотрудников Wildberries работают над тем, чтобы доставить своим клиентам более 10 млн заказов.
Вознаграждения выплачиваются ИП и самозанятым
Описание программы
Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.

Общие правила

Участвовать в программе могут только физические лица, зарегистрированные в качестве индивидуальных предпринимателей или применяющие специальный налоговый режим «налог на профессиональный доход».
В программе не могут участвовать:
  • Сотрудники Wildberries
  • Сотрудники компаний-партнеров
Участники обязаны соблюдать конфиденциальность в отношении информации о найденных уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.

Область действия

Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru, *.wbwh.ru, *.wbbasket.ru, *.wbwh.tech, *.wbheld.ru. Размеры выплат определяются на основании критичности ресурса согласно классификации ниже.
Tier 1
РесурсСсылкиОписание
Маркетплейс1. Web - www.wildberries.ru, global.wildberries.ru
2. iOS - https://apps.apple.com/ru/app/wildberries/id597880187
3. Android - https://play.google.com/store/apps/details?id=com.wildberries.ru
Онлайн магазин, позволяющий пользователям выбирать, заказывать и приобретать товары
Портал продавцов1. Web - seller.wildberries.ru, cmp.wildberries.ru
2. iOS - https://apps.apple.com/ru/app/wb-partners/id1661093227
3. Android - https://play.google.com/store/apps/details?id=wb.partners&hl=ru
Ресурс для продавцов, позволяющий управлять товарными потоками, ценообразованием и взаимодействовать с покупателями
Платёжный шлюзWeb - alpha.paywb.com, beta.paywb.comСервис авторизации и обработки платежей
Balance Pay1. iOS - https://apps.apple.com/ru/app/balance-pay/id6443484009
2. Android – https://play.google.com/store/apps/details?id=ru.wildberries.wbpayclient
Приложение для управления балансом и кошельком пользователя
Tier 2
РесурсСсылкиОписание
WB BankWeb - wb-bank.ruСервис, предоставляюший банковские услуги покупателям, продавцам и франчайзи
Портал “Всем Работа”Web - executors.vsemrabota.ruРесурс для самозанятых, позволяющий брать задания от компании и ее партнёров
WB ПоставщикиWeb - ssp.wildberries.ruСервис поставщиков для работы с документами и услугами
WB DigitalWeb - digital.wildberries.ruОнлайн магазин для торговли цифровыми товарами
Call CenterWeb - callcenter.wildberries.ru, сallcenter.wb.ru, portal-cc.wildberries.ruПортал поддержки для взаимодействия с пользователями
WB TeamWeb - team.wb.ruПриложение для сотрудников компании
WB Рядом1. IOS - https://apps.apple.com/ru/app/wb-%D1%80%D1%8F%D0%B4%D0%BE%D0%BC/id6467810106?l=en-GB
2. Android - https://play.google.com/store/apps/details?id=ru.wildberries.wbcityshopping&pcampaignid=web_share
Приложение для получения скидок и кэшбэка в местах продаж товаров и услуг партнеров компании
Tier 3
РесурсСсылкиОписание
**.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru, *.wbwh.ru, *.wbbasket.ru, *.wbwh.tech, *.wbheld.ruВсе остальное не из Tier 1 и Tier 2
Исключения
В объем ресурсов для тестирования не входит ряд white-label сервисов, например:
Для проверки принадлежности ресурса к Wildberries убедитесь, что его IP-адрес находится в следующих ASN:
  • AS49053
  • AS57073
  • AS201513
  • AS201512

Особые сценарии для тестирования

В рамках программы есть особый сценарий для портала продавцов, за реализацию которого предусмотрена максимальная выплата в 500 000 рублей.
Предлагается получить полный доступ к личному кабинету тестового продавца https://www.wildberries.ru/seller/3941172 с номером телефона +7 (993) 965-09-70.
Критерии выполнения:
  • Получен полный доступ без каких либо ограничений к функциональности личного кабинета тестового продавца
  • Составлено подробное описание шагов воспроизведения с предоставлением флага из неопубликованной карточки товара ("товары" - "карточки товаров - "товар с тэгом flag")
  • Осуществлена демонстрация удаления существующей карточки товара (https://www.wildberries.ru/catalog/190622575/detail.aspx)

Правила тестирования

  1. Допускается использование только собственных учетных записей либо учетных записей пользователей, которые явно выразили свое согласие на такие действия в целях участия в программе.
  2. Запрещается получение доступа к аккаунтам третьих лиц или любой конфиденциальной информации.
  3. Запрещается любая деятельность, которая может нанести ущерб сервисам Wildberries, ее инфраструктуре, клиентам и партнерам. К числу запрещенных действий, в том числе, относятся: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
  4. Для подтверждения наличия уязвимости необходимо использовать минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, участник должен связаться с Wildberries для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
  5. Автоматическое сканирование должно быть ограничено 10 запросами в секунду.

Исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.
Общие исключения:
  • Проблемы и ошибки, не связанные с безопасностью
  • Маловероятные или теоретические атаки без доказательств возможности их осуществления
  • Раскрытие публичной пользовательской информации
  • Использование устаревшего или потенциально уязвимого ПО
  • Фишинг, социальная инженерия и сценарии, требующие физического доступа к жертве
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО)
  • Необработанные отчеты сканеров уязвимостей и других автоматизированных средств
  • Возможность загрузки вредоносного программного обеспечения
Исключения для веб-приложений:
  • Self XSS
  • XSS и HTML инъекции на поддоменах wbbasket.ru
  • Уязвимости, затрагивающие только тех пользователей, которые используют необновленные версии браузеров
  • CSRF для некритичных действий
  • Clickjacking
  • Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
  • Публично доступные метрики (например, prometheus и pprof)
  • Раскрытие информации об API ключах, предназначенных для использования на клиенте (dadata, яндекс карты и т.д.)
  • Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
  • Небезопасно сконфигурированные TLS или SSL
  • Отсутствие очистки мета-информации в сохраняемых файлах
  • SSRF с отправкой исключительно DNS запросов
  • Атаки типа DOS
  • Атаки типа User Enumeration
  • Спам сообщениями по электронной почте или через PUSH уведомления
  • Обход средств, противодействующих переборным атакам (например, ротация IP-адресов, распознавание captcha)
  • Получение доступа к тестовым учетным записям без привлиегий
Исключения для мобильных приложений:
  • Возможность обратной разработки мобильных приложений
  • Отсутствие реакции со стороны мобильного приложения на устройство с root правами или jailbreak
  • Отсутствие SSL-пиннинга сертификатов или ключей
  • Отсутствие защитных флагов нативных библиотек
  • Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root прав или jailbreak на устройстве
  • Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth или Wi-Fi)

Требования к отчетам

Отчет должен содержать описание одной уязвимости или цепочки связанных уязвимостей и должен включать в себя:
  • Описание уязвимости
  • Шаги воспроизведения
  • Анализ критичности
В отчете также должны содержаться:
  • URL уязвимого приложения
  • Тип обнаруженной уязвимости
  • Скриншоты или видеозаписи, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения
Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.

Работа с дубликатами

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.
Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Размеры вознаграждений

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:
Уровень критичностиTier 1Tier 2Tier 3
Критический200 000 ₽ - 500 000 ₽100 000 ₽ - 250 000 ₽50 000 ₽ - 125 000 ₽
Высокий60 000 ₽ - 200 000 ₽30 000 ₽ - 100 000 ₽15 000 ₽ - 50 000 ₽
Средний20 000 ₽ - 60 000 ₽10 000 ₽ - 30 000 ₽5 000 ₽ - 15 000 ₽
Низкий5 000 ₽ - 20 000 ₽5 000 ₽ - 10 000 ₽5 000 ₽ - 5 000 ₽
Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.
Запущена 26 апреля 2023
Изменена 30 сентября, 08:08
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
200K–500K ₽
Высокий
60K–200K ₽
Средний
20K–60K ₽
Низкий
5K–20K ₽
Отсутствует
0–0 ₽
Топ-хакеры
Общий рейтинг
Баллы
Статистика по программе
5 734 500 ₽
Всего выплачено
17 753 ₽
Средняя выплата
534 500 ₽
Выплачено за последние 90 дней
645
Всего отчетов принято
690
Всего отчетов сдано
Описание
Уязвимости
Рейтинг