Wildberries

Компания — Wildberries

Wildberries — международная платформа электронной коммерции и логистики. С 2003 года развивает удобную площадку с широким выбором товаров, а также сопутствующие сервисы: финтех, путешествия, цифровая дистрибуция.
Помогает предпринимателям в России и за рубежом развивать свой бизнес и находить клиентов. Каждый день 270 тысяч сотрудников Wildberries работают над тем, чтобы доставить своим клиентам более 10 млн заказов.

Описание программы

Добро пожаловать в баг-баунти программу Wildberries! Если у вас есть информация, связанная с недостатками безопасности в наших продуктах, сообщите ее нам в соответствии с нижеперечисленными правилами. Мы будем благодарны каждому, кто обнаружит уязвимости в системах Wildberries и вместе с нами сделает их более безопасными.

Общие правила

Участвовать в программе могут только физические лица, зарегистрированные в качестве индивидуальных предпринимателей или применяющие специальный налоговый режим «налог на профессиональный доход». В программе не могут участвовать сотрудники Wildberries или компаний-партнеров. Участники обязаны соблюдать конфиденциальность в отношении информации об уязвимостях. Разглашение данной информации допускается только по предварительному согласованию с Wildberries.

Область действия

Уязвимости можно искать на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru. Однако максимальные выплаты предусмотрены только за обнаружение проблем на нижеперечисленных ресурсах (далее – Основной скоуп):

  1. Маркетплейс:
    1. Web - www.wildberries.ru, global.wildberries.ru
    2. iOS - https://apps.apple.com/ru/app/wildberries/id597880187
    3. Android - https://play.google.com/store/apps/details?id=com.wildberries.ru
  2. Портал продавцов:
    1. Web - seller.wildberries.ru, cmp.wildberries.ru
    2. iOS - https://apps.apple.com/ru/app/wb-партнёры/id1466739454
    3. Android - https://play.google.com/store/apps/details?id=com.wildberries.portal
  3. Портал “Всем Работа”:
    1. Web - executors.vsemrabota.ru
  4. Платежный шлюз:
    1. Web - alpha.paywb.com, beta.paywb.com
  5. Balance Pay:
    1. iOS - https://apps.apple.com/ru/app/balance-pay/id6443484009
    2. Android – https://play.google.com/store/apps/details?id=ru.wildberries.wbpayclient

При обнаружении недостатков безопасности на иных ресурсах Wildberries (далее – Дополнительный скоуп) размер вознаграждения определяется в меньшем объеме в соответствии с уровнем критичности обнаруженной проблемы и ее характером.

В объем ресурсов для тестирования (за успешное тестирование которых установлено вознаграждение) не входят следующие ресурсы:

Особые сценарии для тестирования

Мы выделили несколько отдельных сценариев, за выполнение которых можно получить повышенные выплаты. На текущий момент доступен кейс для портала продавцов.

Предлагается получить полный доступ к личному кабинету тестового продавца - https://www.wildberries.ru/seller/3941172. К ЛК привязан номер телефона +7(993)965-09-70.
В случае реализации данного сценария мы готовы выплатить сумму в размере 500 000 рублей.

Критерии выполнения сценария:

  • Получен полный доступ без каких либо ограничений к функциональности ЛК тестового продавца
  • Составлено подробное описание шагов реализации
  • В отчете предоставлен флаг из неопубликованной карточки товара ("товары" - "карточки товаров - "товар с тэгов flag")
  • В отчете предоставлены доказательства удаления существующей карточки товара (https://www.wildberries.ru/catalog/190622575/detail.aspx)

Правила тестирования

  1. Допускается использование только собственных учетных записей либо учетных записей пользователей, которые явно выразили свое согласие на такие действия в целях участия в программе.
  2. Запрещается получать доступ к аккаунтам третьих лиц или любой конфиденциальной информации.
  3. Запрещается любая деятельность, которая может нанести ущерб сервисам Wildberries, ее инфраструктуре, клиентам и партнерам. К числу запрещенных действий, в том числе, относятся: социальная инженерия, фишинг, атаки типа «отказ в обслуживании», физическое воздействие на инфраструктуру.
  4. Для подтверждения наличия уязвимости необходимо использовать минимально возможный POC (Proof of Concept). В случае, если это может повлиять на других пользователей или же работоспособность системы, участник должен связаться с Wildberries для получения разрешения. Дальнейшая эксплуатация уязвимостей строго запрещена.
  5. Автоматическое сканирование должно быть ограничено 10 запросами в секунду.

Исключения из программы

Мы принимаем только те отчеты, которые содержат информацию о реальных проблемах безопасности. Ниже приведены примеры, которые являются исключениями из нашей программы и не рассматриваются как валидные уязвимости.

Общие исключения:

  • Проблемы и ошибки, несвязанные с безопасностью
  • Маловероятные или теоретические атаки без доказательств возможности их осуществления
  • Раскрытие публичной пользовательской информации
  • Использование устаревшего или потенциально уязвимого ПО
  • Фишинг, социальная инженерия и сценарии, требующие физического доступа к жертве
  • Разглашение технической или нечувствительной информации (например, версии продукта или используемого ПО)
  • Необработанные отчеты сканеров уязвимостей и других автоматизированных средств

Исключения для веб-приложений:

  • Clickjacking
  • Атаки типа DOS
  • Атаки типа User Enumeration
  • Open Redirect без дополнительного вектора атаки (например, кражи токена авторизации)
  • Отсутствие рекомендованных механизмов защиты (например, HTTP заголовков безопасности, флагов безопасности cookie или защиты от CSRF)
  • Небезопасно сконфигурированные TLS или SSL
  • Уязвимости, затрагивающие только тех пользователей, которые используют необновленные версии браузеров

 
Исключения для мобильных приложений:

  • Возможность обратной разработки мобильных приложений
  • Отсутствие реакции со стороны мобильного приложения на устройство с root правами или jailbreak
  • Отсутствие SSL-пиннинга сертификатов или ключей
  • Отсутствие защитных флагов нативных библиотек
  • Уязвимости, необходимым условием эксплуатации которых является наличие вредоносного ПО, root прав или jailbreak на устройстве
  • Атаки, требующие MITM чужого соединения или физической близости с чужим устройством (например, атаки через NFC, Bluetooth или Wi-Fi)

Требования к отчетам

Отчет должен содержать описание одной уязвимости или цепочки связанных уязвимостей и должен включать в себя:

  • Описание уязвимости
  • Шаги воспроизведения
  • Анализ критичности

В отчете также должны содержаться:

  • URL уязвимого приложения
  • Тип обнаруженной уязвимости
  • Скриншоты или видеозаписи, подтверждающие наличие уязвимости и демонстрирующие шаги воспроизведения

Несоблюдение минимальных требований может привести к снижению суммы вознаграждения. Если в отчете недостаточно данных, чтобы проверить наличие уязвимости, выплата вознаграждения не осуществляется.

Работа с дубликатами

Мы выплачиваем вознаграждение только за первый полученный отчет (при условии, что он содержит всю необходимую информацию для воспроизведения уязвимости). Любые последующие отчеты, затрагивающие ту же уязвимость, будут помечены как дублирующие. Отчеты, содержащие схожие векторы атак также могут считаться дублирующими, в случае если команда безопасности считает, что информации из одного отчета достаточно для исправления всех зарегистрированных ошибок. Отчет может быть дубликатом отчета другого исследователя или отчета внутренней команды безопасности.

Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

Размеры вознаграждений

Вознаграждение выплачивается участникам только в случае обнаружения ранее неизвестных компании проблем безопасности и при соблюдении всех указанных в программе условий. Ниже приведена таблица с сопоставлением уровня критичности и размером вознаграждения:

Уровень критичностиОсновной скоупДополнительный скоуп
Критический60 000 ₽ - 250 000 ₽30 000 ₽ - 125 000 ₽
Высокий25 000 ₽ - 60 000 ₽15 000 ₽ - 30 000 ₽
Средний7 500 ₽ - 25 000 ₽3 000 ₽ - 15 000 ₽
Низкий0 ₽ - 7 500 ₽0 ₽ - 3 000 ₽

Размер вознаграждения определяется Wildberries индивидуально в каждом конкретном случае с учетом изложенных в программе критериев и в указанном диапазоне.

Примеры вознаграждений

Тип уязвимостиКритерииОсновной скоупДополнительный скоуп
Удаленное исполнение кода (RCE)Без ограничений по эксплуатации с полноценным доступом во внутреннюю сеть200 000 ₽ - 250 000 ₽100 000 ₽ - 125 000 ₽
В изолированной инфраструктуре или со значительными ограничениями по эксплуатации60 000 ₽ - 80 000 ₽30 000 ₽ - 40 000 ₽
Доступ к чувствительной информации на стороне сервера (инъекции, утечки памяти, IDOR и т.д.)С раскрытием критичной и особо конфиденциальной информации: карточные данные, сессии, пароли, паспортные данные и т.д.150 000 ₽ - 200 000 ₽75 000 ₽ - 100 000 ₽
С раскрытием конфиденциальной информации: чувствительный набор персональных данных и т.д.60 000 ₽ - 80 000 ₽30 000 ₽ - 40 000 ₽
С раскрытием некритичной информации: обращения, активные сеансы и т.д.0 ₽ - 40 000 ₽0 ₽ - 20 000 ₽
Обход аутентификации или выполнение запросов от имени стороннего пользователяС возможностью выполнять особо критичные действия: вывод денег, смена номера телефона, редактирование стоимости товара и т.д.100 000 ₽ - 120 000 ₽50 000 ₽ - 60 000 ₽
С возможностью выполнять критичные действия: отмена заказа, небольшое изменение скидки т.д.60 000 ₽ - 80 000 ₽30 000 ₽ - 40 000 ₽
С возможностью выполнять некритичные действия: изменение комментариев, отправка сообщений в поддержку и т.д.0 ₽ - 40 000 ₽0 ₽ - 20 000 ₽
Подделка запросов на стороне сервера (SSRF)С возможностью выполнять произвольные запросы во внутреннюю сеть и просматривать содержимое ответов80 000 ₽ - 100 000 ₽40 000 ₽ - 50 000 ₽
Без возможности просматривать содержимое ответов15 000 ₽ - 20 000 ₽5 000 - 10 000 ₽
Межсайтовый скриптинг (XSS)Stored XSS или Blind XSS20 000 ₽ - 30 000 ₽0 ₽ - 15 000 ₽
Reflected XSS10 000 ₽ - 15 000 ₽3 000 ₽ - 7 500 ₽
Ошибка настройки CORS0 ₽ - 25 000 ₽0 ₽ - 10 000 ₽
Подделка межсайтовых запросов (CSRF)0 ₽ - 15 000 ₽0 ₽ - 7 500 ₽
Запущена 26 апреля 2023
Изменена 20 мая, 09:10
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
60K–250K ₽
Высокий
25K–60K ₽
Средний
7,5K–25K ₽
Низкий
0–7,5K ₽
Отсутствует
0–0 ₽
Топ-хакеры
Общий рейтинг
Баллы
@byq
38K
Статистика по программе
5 120 000 ₽
Всего выплачено
17 181 ₽
Средняя выплата
423 000 ₽
Выплачено за последние 90 дней
582
Всего отчетов принято
611
Всего отчетов сдано
Описание
Уязвимости
Рейтинг