Bug Bounty Program

Domaines et services inclus : *.wajub.com, *.wajub.app, api.wajub.com, dashboard.wajub.com, konsole.wajub.com, pay.wajub.com, help.wajub.com, status.wajub.com, docs.wajub.com, les applications mobiles Wajub Dashboard, l'API REST publique, les SDKs officiels (JavaScript, Python, PHP, Go, Java, .NET), et les composants UI. Exclus : les sites des marchands, les providers tiers (MTN MoMo, Stripe, etc.), les infrastructures sous-jacentes (AWS), les attaques physiques, DoS/DDoS, et l'ingénierie sociale.

Vulnérabilités récompensées : XSS (stocké, réfléchi, DOM-based), CSRF sur actions sensibles, SSRF avec impact démontré, injections (SQL, NoSQL, LDAP, OS command), IDOR, contournement d'authentification, escalade de privilèges, failles métier avec impact, exposition de données sensibles, subdomain takeover, race conditions, et mass assignment. Non éligibles : self-XSS, missing HTTP security headers sans impact, clickjacking non sensible, version disclosure, rate limiting sans impact business, et rapports automatisés sans preuve de concept.

Barème indicatif (USD) : Critique — $2 000 à $5 000 (RCE, prise de contrôle de compte, accès infrastructure, fuite massive). Élevée — $1 000 à $2 000 (contournement auth, IDOR critique, injection SQL). Moyenne — $500 à $1 000 (XSS stocké, CSRF sensible, SSRF limité). Faible — $100 à $500 (XSS réfléchi, information disclosure mineur). Bonus : premier rapport +20%, rapport avec correctif +10%, rapport avec automate de test +10%.

Les chercheurs s'engagent à agir de bonne foi, ne pas exploiter la vulnérabilité au-delà de la démonstration, ne pas accéder ou modifier des données qui ne leur appartiennent pas, ne pas divulguer avant correction (délai par défaut de 90 jours), et ne pas utiliser d'attaques par force brute ou DoS. Wajub s'engage à ne pas engager de poursuites contre les chercheurs agissant de bonne foi (safe harbor) et à traiter les rapports avec professionnalisme.

Les rapports doivent être soumis via hackerone.com/wajub. Un bon rapport contient : titre clair, type CWE/OWASP, URL concernée, étapes de reproduction détaillées, preuve de concept (PoC), impact potentiel, et environnement. Délais de traitement : accusé réception < 24h, premier tri < 48h, validation < 5 jours. Correction : critique < 7 jours, élevée < 14 jours, moyenne < 30 jours, faible < 60 jours. Récompense après validation de la correction.

Wajub se réserve le droit d'exclure un chercheur en cas de non-respect des règles, divulgation publique prématurée, attaques au-delà du périmètre nécessaire, tentative d'extorsion ou de chantage, ou harcèlement envers les équipes. Wajub se réserve le droit de modifier les termes du programme à tout moment ; les modifications sont publiées sur la page HackerOne.