Единая система идентификации и аутентификации

Company: Минцифры России
Единая система идентификации и аутентификации. Она обеспечивает взаимодействие разных информационных систем, через которые предоставляют госуслуги. Авторизуясь при помощи ЕСИА, пользователь может зайти и на федеральные Госуслуги, и на свой региональный портал, и на другие сайты ведомств. Благодаря этой системе не нужно менять логин и пароль для разных государственных ресурсов.
Program description

Правила для нас

Мы уважаем время и усилия наших исследователей;
Мы отвечаем в течение 5 рабочих дней;
Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.

Правила для вас

Будьте этичным хакером и уважайте конфиденциальность других пользователей;
Соблюдайте правила, которые устанавливает Минцифры России в рамках данной программы, а также правила платформы The Standoff 365 Bug Bounty;
Соблюдайте правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, которая была получена случайным образом ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным;
Избегайте ситуаций, которые могут привести к прерыванию или ухудшению качества наших услуг. Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
Поддерживайте общение с командой безопасности Минцифры России, направляйте ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давайте обратную связь, если у специалистов возникнут вопросы по отчету;
Сообщайте нам обо всех обнаруженных уязвимостях путем создания отчета (кнопка Сдать отчет рядом с названием программы);
Участниками программы могут быть только граждане Российской Федерации в возрасте от 18 лет.

Скоуп

  • esia.gosuslugi.ru
  • af.gosuslugi.ru
  • ds-plugin.gosuslugi.ru
  • 109.207.1.47
  • 109.207.2.205
  • 213.59.254.8
В программе участвуют только указанные домены и IP-адреса. Все остальные домены и ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.

Вознаграждения за уязвимости

Уязвимость (по уровню опасности)Вознаграждение
Критический300 000 – 1 000 000 ₽
Высокий100 000 – 300 000 ₽
Средний50 000 – 100 000 ₽
Низкий10 000 – 30 000 ₽

Публичное раскрытие информации об уязвимости

Публичное раскрытие информации о найденных в рамках программы уязвимостях в данный момент не предусмотрено.

Мы не принимаем и не рассматриваем:

  • Отчеты сканеров уязвимостей и других автоматизированных инструментов;
  • Раскрытие информации, не являющейся конфиденциальной, например версии продукта;
  • Раскрытие публичной информации о пользователе, например nickname;
  • Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
  • Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF-маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
  • Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
  • Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
  • Уязвимости партнерских продуктов или сервисов, если пользователи/учетные записи ЕСИА не затронуты напрямую;
  • Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
  • Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
  • Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
  • Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
  • Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
  • Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
  • Гомографические атаки IDN;
  • XSPA (сканирование IP/портов во внешние сети);
  • Инъекция формул Excel CSV;
  • Скриптинг в документах PDF;
  • Self-XSS без демонстрации импакта;
  • Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
  • Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
  • Теоретические атаки без доказательства возможности использования;
  • Уязвимости отказа в обслуживании (DoS), связанные с отправкой большого количества запросов или данных (флуд);
  • Возможность отправки большого количества сообщений;
  • Возможность отправки спама или файла вредоносного ПО;
  • Раскрытие информации через внешние ссылки, не контролируемые Минцифры России (например, поисковые dork’и к приватным защищенным областям robots.txt);
  • Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
  • Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.

Недопустимые действия

Исследователям запрещено:
  • Воздействовать на учетные записи других пользователей без их разрешения;
  • Использовать обнаруженные уязвимости в личных целях;
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т.д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Минцифры России, которая проведет атаку в тестовой среде;
  • Проводить физические атаки на персонал, дата-центры и офисы Минцифры России или поставщиков услуг;
  • Проводить атаки на системы Минцифры России с использованием техник социальной инженерии (фишинг, вишинг и т.д.) и спам-рассылки клиентам, партнерам и сотрудникам;
  • Исследовать серверную инфраструктуру, где размещены веб-приложения;
  • Проникать во внутренние системы веб-сервисов и приложений информационных систем Минцифры России, а также иных информационных ресурсов Минцифры России. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Минцифры России должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Минцифры России;
  • Совершать попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной уязвимости;
  • Осуществлять целенаправленную выгрузку персональных данных граждан из внутренних систем веб-сервисов и приложений, а также иных информационных ресурсов, не указанных в программе.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Требования к оформлению отчета

Отчет об уязвимости должен содержать:
  • Название уязвимости;
  • Название продукта и версию затрагиваемого ПО (компонента);
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т.д.;
  • Рекомендации по устранению уязвимости.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов Минцифры России обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.
Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка Сдать отчет рядом с названием программы).
Launched February 10, 2023
Edited October 16, 14:30
Program format
Vulnerabilities
Reward for vulnerabilities
by severity level
Critical
₽300K–1M
High
₽100K–300K
Medium
₽50K–100K
Low
₽10K–30K
None
₽0–0
Program statistics
₽780,000
Paid in total
₽78,000
Average payment
₽40,000
Paid in the last 90 days
33
Valid reports
48
Submitted reports
Description
Vulnerabilities
Ranking
Versions