Wildberries

Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.

Общие правила

Участвовать в программе могут только физические лица, зарегистрированные в качестве индивидуальных предпринимателей или применяющие специальный налоговый режим «налог на профессиональный доход».

В программе не могут участвовать:

• Сотрудники Wildberries
• Сотрудники компаний-партнеров

Участники обязаны соблюдать конфиденциальность в отношении информации о найденных уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.

Область действия

Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru, *.wbwh.ru, *.wbbasket.ru, *.wbwh.tech, *.wbheld.ru. Размеры выплат определяются на основании критичности ресурса согласно классификации ниже.

Tier 1

Tier 2

Tier 3

Исключения

В объем ресурсов для тестирования не входит ряд white-label сервисов, например:

• https://vmeste.wildberries.ru/rail
• https://vmeste.wildberries.ru/bus
• https://vmeste.wildberries.ru/ammp
• https://vmeste-hotels.wildberries.ru
• https://vmeste-tours.wildberries.ru
• https://edu.wildberries.ru

Для проверки принадлежности ресурса к Wildberries убедитесь, что его IP-адрес находится в следующих ASN:

• AS49053
• AS57073
• AS201513
• AS201512

Особые сценарии для тестирования

В рамках программы есть особый сценарий для портала продавцов, за реализацию которого предусмотрена максимальная выплата в 500 000 рублей.

Предлагается получить полный доступ к личному кабинету тестового продавца https://www.wildberries.ru/seller/3941172 с номером телефона +7 (993) 965-09-70.

Критерии выполнения:

• Получен полный доступ без каких либо ограничений к функциональности личного кабинета тестового продавца
• Составлено подробное описание шагов воспроизведения с предоставлением флага из неопубликованной карточки товара ("товары" - "карточки товаров - "товар с тэгом flag")
• Осуществлена демонстрация удаления существующей карточки товара (https://www.wildberries.ru/catalog/190622575/detail.aspx)

Правила тестирования

1. Допускается использование только собственных учетных записей либо учетных записей пользователей, которые явно выразили свое согласие на такие действия в целях участия в программе.
2. Запрещается получение доступа к аккаунтам третьих лиц или любой конфиденциальной информации.
3. Запрещается любая деятельность, которая может нанести ущерб сервисам Wildberries, ее инфраструктуре, клиентам и партнерам. К числу запрещенных действий, в том числе, относятся: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
4. Для подтверждения наличия уязвимости необходимо использовать минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, участник должен связаться с Wildberries для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
5. Автоматическое сканирование должно быть ограничено 10 запросами в секунду.

Исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.

Общие исключения:

• Проблемы и ошибки, не связанные с безопасностью
• Маловероятные или теоретические атаки без доказательств возможности их осуществления
• Раскрытие публичной пользовательской информации
• Использование устаревшего или потенциально уязвимого ПО
• Фишинг, социальная инженерия и сценарии, требующие физического доступа к жертве
• Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО)
• Необработанные отчеты сканеров уязвимостей и других автоматизированных средств
• Возможность загрузки вредоносного программного обеспечения

Исключения для веб-приложений:

• Self XSS
• XSS и HTML инъекции на поддоменах wbbasket.ru
• Уязвимости, затрагивающие только тех пользователей, которые используют необновленные версии браузеров
• CSRF для некритичных действий
• Clickjacking
• Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
• Публично доступные метрики (например, prometheus и pprof)
• Раскрытие информации об API ключах, предназначенных для использования на клиенте (dadata, яндекс карты и т.д.)
• Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
• Небезопасно сконфигурированные TLS или SSL
• Отсутствие очистки мета-информации в сохраняемых файлах
• SSRF с отправкой исключительно DNS запросов
• Атаки типа DOS
• Атаки типа User Enumeration
• Спам сообщениями по электронной почте или через PUSH уведомления
• Обход средств, противодействующих переборным атакам (например, ротация IP-адресов, распознавание captcha)
• Получение доступа к тестовым учетным записям без привлиегий

Исключения для мобильных приложений:

• Возможность обратной разработки мобильных приложений
• Отсутствие реакции со стороны мобильного приложения на устройство с root правами или jailbreak
• Отсутствие SSL-пиннинга сертификатов или ключей
• Отсутствие защитных флагов нативных библиотек
• Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root прав или jailbreak на устройстве
• Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth или Wi-Fi)

Требования к отчетам

Отчет должен содержать описание одной уязвимости или цепочки связанных уязвимостей и должен включать в себя:

• Описание уязвимости
• Шаги воспроизведения
• Анализ критичности

В отчете также должны содержаться:

• URL уязвимого приложения
• Тип обнаруженной уязвимости
• Скриншоты или видеозаписи, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения

Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.

Работа с дубликатами

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.

Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Размеры вознаграждений

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:

Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.