Программа Wamba Bug Bounty

Wamba приглашает принять участие в программе Wamba Bug Bounty, целью которой является поиск возможных уязвимостей нашего сервиса. Мы выплачиваем вознаграждение за каждую найденную уязвимость и вносим имена успешных исследователей в Зал славы.

Как принять участие в программе Wamba Bug Bounty

  • Попытайтесь найти баги, которые, возможно, затаились в веб-сервисе Wamba и мобильных приложениях для iOS и Android. К их числу могут относиться:
    • Межсайтовый скриптинг (XSS);
    • Межсайтовая подделка запросов (CSRF);
    • Инъекции программного кода и операторов SQL;
    • Уязвимости в управлении сессией;
  • Ознакомьтесь с Принципами ответственного раскрытия
  • Используйте Пункт приема багов, чтобы указать на найденную уязвимость
  • Примите заслуженное вознаграждение – чем крупнее и толще баг, тем более весомой будет наша признательность
К участию в программе не допускаются действующие и бывшие сотрудники компании, их знакомые и родственники.

Пункт приема багов

Мы принимаем сообщения о различных типах уязвимостях в веб-сервисе Wamba и мобильных приложениях для iOS и Android. К числу таких уязвимостей могут относиться:
  • Межсайтовый скриптинг (XSS);
  • Межсайтовая подделка запросов (CSRF);
  • Инъекции программного кода и операторов SQL;
  • Уязвимости в управлении сессией;
Этот список не является полным – если вы обнаружили любой другой баг, способный скомпрометировать данные пользователей сервиса Wamba или помешать его работе – обязательно сообщите нам о своей находке.
Чтобы рассказать о найденной уязвимости, используйте расположенную ниже форму. Если вы хотите сообщить о большем числе багов, заполните эту форму повторно.

Мы обязательно подтвердим получение вашего сообщения.

Размер вознаграждения

Мы разделяем наши сервисы на критический и все остальные.
К критическим сервисам относятся авторизация пользователя, система хранения личных данных пользователя и системы оплаты услуг.

Критические сервисы:
  • Инъекции программного кода и операторов SQL – 180 000 р.;
  • Межсайтовый скриптинг (XSS) – 18 000 р.;
  • Межсайтовая подделка запросов (CSRF) – 18 000 р.;
  • Уязвимости в управлении сессией – 9 000р.;
Остальные сервисы:
  • Инъекции программного кода и операторов SQL – 60 000 р.;
  • Межсайтовый скриптинг (XSS) – 9 000 р.;
  • Межсайтовая подделка запросов (CSRF) – 9 000 р.;
  • Уязвимости в управлении сессией – 6 000р.;
В особых случаях размер выплаты за найденную уязвимость может быть увеличен.
Оплата гражданам России производится через систему WebMoney или PayPal.
Обращаем ваше внимание, что вознаграждение получает только первый сообщивший о найденной уязвимости.

Принципы ответственного раскрытия

Мы ожидаем следование принципам ответственного раскрытия от исследователей, взявшихся за поиск уязвимостей на сервисе Wamba.
Это означает что лицо, обнаружившее уязвимость и сообщившее о ней посредством формы, обязуется не разглашать информацию об уязвимости третьим лицам в течение времени, которое требуется для ее устранения.
Участник программы по поиску уязвимостей не должен в какой-либо форме раскрывать данные, доступ к которым был получен в результате его исследований. К их числу мы относим персональные данные пользователей, а также иные сведения, способные затруднить работу сервиса Wamba.