""

Shoper Bug Bounty Program

Jeśli widzisz luki w zabezpieczeniach w sklepach na Shoperze, frontendzie, w panelu administracyjnym sklepu lub API, zgłoś je bezpośrednio do nas. Zweryfikowane zgłoszenia nagradzamy.

Poznaj rodzaje zgłoszeń

Informuj o błędach, które zagrażają danym użytkowników, omijają zabezpieczenia lub stwarzają ryzyko dla procesu zakupowego i danych w sklepie.

Lista zgłoszeń, które przyjmujemy:

  • XSS
  • CSRF
  • SQL Injection
  • Ominięcie modeli uprawnień platformy / sklepu, w tym WebAPI
  • Zdalne wykonanie kodu, w tym WebAPI
  • Wzrost uprawnień, w tym WebAPI
  • Dostęp do danych wrażliwych (pliki konfiguracyjne)
  • Błędy w używanych zewnętrznych skryptach / bibliotekach

Sprawdź, czego nie zgłaszać

Zgłoszenia, w których administrator strony sklepu sam może dodać szkodliwy kod (np. JavaScript)

  • Ataki, które wymagają wcześniejszego dostępu do plików sklepu (FTP, SSH)
  • Tzw. Self-XSS i inne, w których kluczowym elementem jest atak na użytkowniku
  • Błędy niezwiązane z bezpieczeństwem informacji i użytkowników, tj. literówki, problemy z interfejsem (UI), niezgodność ze starszymi wersjami przeglądarek itd.
  • DOS, DDOS
  • Luki na stronach, które  nie należą do sklepu (np. błędy są na shoper.pl)
  • Błędy w konfiguracji serwera, które nie wpływają bezpośrednio na bezpieczeństwo
  • Zgłoszenia dotyczące uruchamiania kodu JavaScript w edytorze WYSIWYG (np. przy edycji opisu produktu)
  • Atak CSRF w celu zmiany zawartości koszyka, logowania lub wylogowania
  • Brak flagi secure dla ciasteczek bez danych sesji
  • Atak XSS, który wymaga kontroli nad nagłówkami HTTP (Referer, Host itp.), a wysyła je osoba dotknięta atakiem
  • Atak clickjacking na stronie sklepu, z wyjątkiem panelu administracyjnego. Sklep może być osadzony w ramce
  • Atak brute force lub atak słownikowy, czyli techniki łamania haseł

Odbierz  nagrody finansowe

Doceniamy to, że pomagasz nam lepiej chronić sklepy internetowe na naszej platformie i prywatność kupujących.

Jak działa system nagród?

  • Nagrodę otrzyma osoba, która przestrzega zasad odpowiedzialnego ujawniania informacji (white hat) i jako pierwsza zgłosi dany błąd
  • Nagrody przyznaje zespół ds. wykrywania błędów
  • Minimalna nagroda wynosi 200 zł
  • Nie ma maksymalnej nagrody. Wysokość zależy od poziomu zagrożenia, jego złożoności i kreatywności autora

Jak zgłosić lukę w zabezpieczeniach?

Trzymamy się jasnych zasad. Nasi specjaliści sprawdzają i badają każde zgłoszenie, które kwalifikuje się do programu Bug Bounty.

  1. Wypisz nazwy kont i adresy sklepów, których dotyczy zgłoszenie.
  2. Zgłoszenie błędu bezpieczeństwa prześlij na adres e-mail: whitehat@shoper.pl.
  3. W wiadomości opisz, krok po kroku, przebieg znalezionej luki. Podaj linki, identyfikatory, hasła i inne potrzebne dane, które pomogą nam odtworzyć i naprawić błąd. Jeśli możesz, dołącz zrzuty ekranu, nagrania wideo lub inne pliki.

Przetestuj sklep internetowy przez 14 dni za darmo

Korzystaj ze wszystkich funkcji oprogramowania bez zobowiązań.

Dane kontaktowe
krok 1 / 2 Testuj sklep internetowy Shoper przez 14 dni za darmo

Twoje dane są u nas w pełni bezpieczne. Potrzebujemy ich, aby wysłać ci dane logowania do sklepu.

Dane kontaktowe
+48
Zgoda na otrzymywanie informacji handlowych

Podając dane kontaktowe, akceptujesz RegulaminPolitykę Prywatności 

Informacja Administratora Danych Osobowych
krok 2 / 2 Załóż sklep w 1 minutę i korzystaj przez 14 dni za darmo
Dane kontaktowe
+48
Dane osobowe lub dane firmy
Dane adresowe
Opcje sklepu
Shoper Standard w promocji 2689 zł 360 zł netto / pierwszy rok