Zasady przeprowadzania testów
i zgłaszania informacji
Zakres programu ograniczony jest do sklepów Shoper (uruchamianych na platformie Shoper.pl), frontendu, panelu administracyjnego do zarządzania sklepem oraz API. Testy należy przeprowadzać tylko na własnych sklepach.
Zgłoszenia niespełniające wymogów
-
Zgłoszenia w których administrator sam może umieścić szkodliwy kod (np. JavaScript), uruchamiany w części klienckiej sklepu
-
Ataki, które wymagają wcześniejszego dostępu do plików sklepu (FTP, SSH)
-
Tzw. Self-XSS i inne, których kluczowym elementem jest “atak” na użytkowniku
-
Błędy niezwiązane z bezpieczeństwem informacji i/lub użytkowników (literówki, drobne błędy UI, niekompatybilność ze starszymi wersjami przeglądarek, itd.)
-
DOS, DDOS
-
Podatności występujące na stronach nie należących do konkretnego sklepu (np shoper.pl)
-
Błędy w konfiguracji serwera, które nie wpływają bezpośrednio na bezpieczeństwo
-
Zgłoszenia związane z uruchamianiem kodu javascript w ramach edytora WYSIWYG (np. podczas edycji opisu produktu).
-
Atak CSRF w celu modyfikacji zawartości koszyka, logowania lub wylogowania.
-
Brak flagi secure dla ciasteczek nie zawierających danych sesji.
-
Atak XSS, który wymaga pełnej kontroli nad nagłówkami HTTP (takimi jak Referer, Host itp.) wysyłanymi przez osobę na której odbywa się atak
-
Atak clickjacking na stronie sklepu (Sklep może być osadzony w ramce, nie dotyczy panelu administracyjnego)
-
Atak bruteforce lub atak słownikowy zgadywania haseł
Możesz zgłaszać błędy, które naruszają integralność danych użytkowników, omijają zabezpieczenia danych lub stwarzają inne niebezpieczeństwo dla procesu zakupowego, lub danych w sklepie.