Shoper

Shoper Bug Bounty Program

Zasady przeprowadzania testów i zgłaszania informacji

Zakres programu ograniczony jest do sklepów Shoper (uruchamianych na platformie Shoper.pl), frontendu, panelu administracyjnego do zarządzania sklepem oraz API. Testy należy przeprowadzać tylko na własnych sklepach.

Rodzaje zgłoszeń

Możesz zgłaszać błędy, które naruszają integralność danych użytkowników, omijają zabezpieczenia danych lub stwarzają inne niebezpieczeństwo dla procesu zakupowego, lub danych w sklepie.

  • XSS
  • CSRF
  • SQL Injection
  • Ominięcie modeli uprawnień platformy / sklepu (w tym WebAPI)
  • Zdalne wykonanie kodu (w tym WebAPI)
  • Eskalacja uprawnień (w tym WebAPI)
  • Dostęp do danych wrażliwych (pliki konfiguracyjne)
  • Błędy (ww.) w używanych zewnętrznych skryptach/bibliotekach

Zgłoszenia niespełniające wymogów

  • Zgłoszenia w których administrator sam może umieścić szkodliwy kod (np. JavaScript), uruchamiany w części klienckiej sklepu
  • Ataki, które wymagają wcześniejszego dostępu do plików sklepu (FTP, SSH)
  • Tzw. Self-XSS i inne, których kluczowym elementem jest “atak” na użytkowniku
  • Błędy niezwiązane z bezpieczeństwem informacji i/lub użytkowników (literówki, drobne błędy UI, niekompatybilność ze starszymi wersjami przeglądarek, itd.)
  • DOS, DDOS
  • Podatności występujące na stronach nie należących do konkretnego sklepu (np shoper.pl)
  • Błędy w konfiguracji serwera, które nie wpływają bezpośrednio na bezpieczeństwo
  • Zgłoszenia związane z uruchamianiem kodu javascript w ramach edytora WYSIWYG (np. podczas edycji opisu produktu).
  • Atak CSRF w celu modyfikacji zawartości koszyka, logowania lub wylogowania.
  • Brak flagi secure dla ciasteczek nie zawierających danych sesji.
  • Atak XSS, który wymaga pełnej kontroli nad nagłówkami HTTP (takimi jak Referer, Host itp.) wysyłanymi przez osobę na której odbywa się atak
  • Atak clickjacking na stronie sklepu (Sklep może być osadzony w ramce, nie dotyczy panelu administracyjnego)
  • Atak bruteforce lub atak słownikowy zgadywania haseł

Zgłoszenia w każdym z powyższych przypadków, rozpatrujemy indywidualnie. Jeżeli problem okaże się krytyczny pod względem bezpieczeństwa, może również zostać nagrodzony.

Nagrody

  • Nagrody przyznaje zespół ds. wykrywania błędów
  • Minimalna nagroda wynosi 200 zł
  • Nie ma maksymalnej nagrody: wysokość zależy od poziomu zagrożenia, jego złożoności i kreatywności autora
  • Płacimy tylko indywidualnym osobom
  • Warunkiem uzyskania nagrody jest przestrzeganie zasad odpowiedzialnego ujawniania informacji (white hat) oraz zgłoszenie błędu jako pierwsza osoba

Jak powinno wyglądać prawidłowe zgłoszenie

  • Zgłoszenia prześlij e-mailem na adres: whitehat@shoper.pl
  • W przesłanej do nas wiadomości wyjaśnij dokładnie, jak krok po kroku odtworzyć błąd. Poinformuj nas jakie linki kliknąłeś(aś), jakie strony odwiedziłeś(aś). Podaj adresy URL, identyfikatory użytkowników, hasła i wszystkie inne informacje, które mogą być potrzebne do odtworzenia przez nas ataku. Jeśli to możliwe, załącz również zrzuty ekranu, nagrania wideo lub inne pomocne pliki.
  • Podaj nazwy kont i adresy sklepów wykorzystanych w zgłoszeniu