Министерство информационного развития и связи Пермского края
Company: Министерство информационного развития и связи Пермского краяМинистерство информационного развития и связи Пермского края является головным подразделением осуществляет деятельность в сфере цифрового развития региона, телекоммуникаций, связи, информационных технологий и информационной безопасности.
Деятельность Министерства связана с функционированием информационно-телекоммуникационной инфраструктуры, организацией защищенного доступа к цифровым ресурсам, а также сопровождением региональных государственных информационных систем, пользователями которых являются более 1 миллиона человек по Пермскому краю и за его пределами.
Деятельность Министерства связана с функционированием информационно-телекоммуникационной инфраструктуры, организацией защищенного доступа к цифровым ресурсам, а также сопровождением региональных государственных информационных систем, пользователями которых являются более 1 миллиона человек по Пермскому краю и за его пределами.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Participants must be aged 18 years and over
Program description
ПРОГРАММА
Цель Министерства информационного развития и связи Пермского края – обеспечить стабильное функционирование информационных ресурсов Пермского края и безопасность их пользователей.
Bug Bounty программа - важная составляющая нашей системы по обеспечению безопасности данных и конфиденциальной информации. Никакая инфраструктура не является идеальной и всегда существует потенциал для обнаружения уязвимостей.
Мы приглашаем вас стать нашими союзниками в обнаружении и мониторинге потенциальных проблем безопасности. Вместе мы можем создать и поддерживать безопасную среду для всех наших пользователей. Присоединяйтесь к нашей программе и помогите нам обнаружить и устранить потенциальные уязвимости, повышая уровень безопасности нашей системы.
Bug Bounty программа - важная составляющая нашей системы по обеспечению безопасности данных и конфиденциальной информации. Никакая инфраструктура не является идеальной и всегда существует потенциал для обнаружения уязвимостей.
Мы приглашаем вас стать нашими союзниками в обнаружении и мониторинге потенциальных проблем безопасности. Вместе мы можем создать и поддерживать безопасную среду для всех наших пользователей. Присоединяйтесь к нашей программе и помогите нам обнаружить и устранить потенциальные уязвимости, повышая уровень безопасности нашей системы.
СКОУП
Единая информационная система управления финансово-хозяйственной деятельностью организаций бюджетной сферы Пермского края – https://accounting.permkrai.ru
Региональный сервис аутентификации и авторизации сотрудников органов государственной власти и учреждений Пермского края – https://office.permkrai.ru
Единая информационная система здравоохранения Пермского края – https://k-vrachu.ru, https://eisz.permkrai.ru (*доступна с использованием защищённого канала связи)
Региональный сервис аутентификации и авторизации сотрудников органов государственной власти и учреждений Пермского края – https://office.permkrai.ru
Единая информационная система здравоохранения Пермского края – https://k-vrachu.ru, https://eisz.permkrai.ru (*доступна с использованием защищённого канала связи)
Пожалуйста, перед отправкой отчета убедитесь, что скоуп действия найденной проблемы соответствует заявленному в программе. Если скоуп не соответствует целевому, но вы считаете, что найденная вами проблема стоит того, чтобы обратить на нее внимание, отправьте свой отчет на платформе Standoff365 (не по электронной почте или другими каналами) и включите пару предложений, где вы опишете свое мнение относительно применимости.
ПРИОРИТЕТНЫЕ УЯЗВИМОСТИ
Наиболее приоритетным для нас является поиск критичных уязвимостей на стороне сервера. Однако, мы будем рады рассмотреть отчеты о любых уязвимостях, эксплуатация которых может негативно сказаться на нашей компании и ее работе. Перед составлением отчета мы рекомендуем вам ознакомиться с базовыми списками интересующих нас уязвимостей. Также обратите внимание, что мы выделили перечень уязвимостей, которые мы не вознаграждаем в рамках данной программы.
Перечень уязвимости, обнаружение которых важно для Министерства информационного развития и связи Пермского края:
WEB:
- Межсайтовый скриптинг (XSS, в зависимости от уровня критичности и воздействия на пользователя);
- Раскрытие и манипуляции чувствительными данными (IDOR и т.д.);
- Обход капчи;
- Удаленное исполнение кода (RCE);
- Инъекции (SQL и эквиваленты);
- Локальное/удаленное включение файлов (LFI/RFI);
- Подделка запросов на стороне сервера (SSRF);
- Захват аккаунта (в зависимости от уровня критичности и сложности взаимодействия с пользователем);
- Уязвимости и недостатки механизмов аутентификации и авторизации;
- Уязвимости бизнес-логики.
WEB:
- Межсайтовый скриптинг (XSS, в зависимости от уровня критичности и воздействия на пользователя);
- Раскрытие и манипуляции чувствительными данными (IDOR и т.д.);
- Обход капчи;
- Удаленное исполнение кода (RCE);
- Инъекции (SQL и эквиваленты);
- Локальное/удаленное включение файлов (LFI/RFI);
- Подделка запросов на стороне сервера (SSRF);
- Захват аккаунта (в зависимости от уровня критичности и сложности взаимодействия с пользователем);
- Уязвимости и недостатки механизмов аутентификации и авторизации;
- Уязвимости бизнес-логики.
УЯЗВИМОСТИ, НЕ ПРЕТЕНДУЮЩИЕ НА ВОЗНАГРАЖДЕНИЕ
- Отчеты сканеров уязвимостей и других автоматизированных инструментов;
- Раскрытие информации, не являющейся конфиденциальной, например версия продукта;
- Раскрытие публичной информации о пользователе, например nickname;
- Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
- Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
- Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
- Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
- Уязвимости партнерских продуктов или сервисов;
- Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
- Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
- Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
- Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
- Гомографические атаки IDN;
- XSPA (сканирование IP/портов во внешние сети);
- Инъекция формул Excel CSV;
- Скриптинг в документах PDF;
- Self-XSS;
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
- Теоретические атаки без доказательства возможности использования;
- Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд);
- Возможность отправки большого количества сообщений;
- Возможность отправки спама или файла вредоносного ПО;
- Раскрытие информации через внешние ссылки, не контролируемые компанией;
- Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
- Сообщения о возможных DDOS-атаках;
- Информацию об IP-адресах, DNS-записях и открытых портах;
- Раскрытие частных IP-адресов или доменов, указывающих на частные IP-адреса;
- Отчеты сканеров уязвимостей и других автоматизированных средств;
- Сообщения о публично доступных панелях входа;
ОФОРМЛЕНИЕ ОТЧЕТОВ
Структура отчёта должна содержать в себе следующую информацию:
- название уязвимости;
- категория;
- CVE;
- анализ уровня критичности по CVSS 3.1;
- подробное описание шагов воспроизведения;
- оценка предположительного ущерба и рисков для компании и ее систем;
- рекомендации по исправлению;
- POC: фото, видео, части кода, пример запроса (для фото и видео особенно важно соблюдение формата файлов, которые поддерживает площадка. Ссылки на сторонние источники запрещены).
Для каждой найденной уязвимости мы просим вас создать новый отчет. Однако, если вы хотите описать воспроизведение атаки, для реализации которой необходима эксплуатация ряда проблем, вы можете описать их в рамках одного отчета. В таком случае мы просим вас уделить особое внимание оформлению, и отметить, сколько уязвимостей каких классов вы обнаружили._
- название уязвимости;
- категория;
- CVE;
- анализ уровня критичности по CVSS 3.1;
- подробное описание шагов воспроизведения;
- оценка предположительного ущерба и рисков для компании и ее систем;
- рекомендации по исправлению;
- POC: фото, видео, части кода, пример запроса (для фото и видео особенно важно соблюдение формата файлов, которые поддерживает площадка. Ссылки на сторонние источники запрещены).
Для каждой найденной уязвимости мы просим вас создать новый отчет. Однако, если вы хотите описать воспроизведение атаки, для реализации которой необходима эксплуатация ряда проблем, вы можете описать их в рамках одного отчета. В таком случае мы просим вас уделить особое внимание оформлению, и отметить, сколько уязвимостей каких классов вы обнаружили._
КАК СОСТАВИТЬ ХОРОШИЙ ОТЧЕТ
Составление хорошего отчета для платформы по поиску уязвимостей может быть важным шагом для успешной работы хакера. Вот несколько советов:
- Опишите проблему: включите в отчет все необходимые детали о найденной уязвимости, включая ее тип, конкретные действия, которые привели к ее обнаружению, и потенциальные последствия для системы;
- Шаги воспроизведения: предоставьте точные шаги, которые позволят разработчикам воспроизвести проблему. Чем лучше они смогут повторить вашу последовательность действий, тем легче будет исправить уязвимость;
- Поддерживающие доказательства: приложите любые дополнительные материалы, такие как скриншоты, записи экрана или код, которые помогут понять и воспроизвести проблему;
- Классификация уязвимости: определите класс уязвимости в соответствии с современной системой классификации уязвимостей (например, OWASP). Это позволит команде лучше понять ее потенциальные последствия;
- Составьте рекомендации: не ограничивайтесь только обнаружением уязвимости. Предложите конструктивные рекомендации по устранению проблемы. Например, предложите способы улучшить безопасность системы или защититься от атак в будущем;
- Будьте профессиональны: относитесь к процессу отчетности серьезно. Соблюдайте этические и юридические нормы, не раскрывайте полученную информацию третьим лицам и сотрудничайте с командой разработчиков, чтобы помочь им исправить проблему;
- Проверьте отчет перед отправкой: прежде чем отправлять отчет, убедитесь, что он хорошо структурирован и понятен. Проверьте грамматику и орфографию, чтобы ваш отчет выглядел профессионально.
- Опишите проблему: включите в отчет все необходимые детали о найденной уязвимости, включая ее тип, конкретные действия, которые привели к ее обнаружению, и потенциальные последствия для системы;
- Шаги воспроизведения: предоставьте точные шаги, которые позволят разработчикам воспроизвести проблему. Чем лучше они смогут повторить вашу последовательность действий, тем легче будет исправить уязвимость;
- Поддерживающие доказательства: приложите любые дополнительные материалы, такие как скриншоты, записи экрана или код, которые помогут понять и воспроизвести проблему;
- Классификация уязвимости: определите класс уязвимости в соответствии с современной системой классификации уязвимостей (например, OWASP). Это позволит команде лучше понять ее потенциальные последствия;
- Составьте рекомендации: не ограничивайтесь только обнаружением уязвимости. Предложите конструктивные рекомендации по устранению проблемы. Например, предложите способы улучшить безопасность системы или защититься от атак в будущем;
- Будьте профессиональны: относитесь к процессу отчетности серьезно. Соблюдайте этические и юридические нормы, не раскрывайте полученную информацию третьим лицам и сотрудничайте с командой разработчиков, чтобы помочь им исправить проблему;
- Проверьте отчет перед отправкой: прежде чем отправлять отчет, убедитесь, что он хорошо структурирован и понятен. Проверьте грамматику и орфографию, чтобы ваш отчет выглядел профессионально.
ПРАВИЛА
ПРАВИЛА ДЛЯ ИССЛЕДОВАТЕЛЕЙ
- Будьте этичными в своих действиях: мы просим всех участников соблюдать законы и правила, связанные с информационной безопасностью;
- Перед началом работы ознакомьтесь с правилами программы: соблюдайте наши условия;
- Проводите поиск проблем только в тех системах, которые попадают в скоуп программы: тестирование других систем <Компании> запрещено;
- Используйте легальные методы поиска уязвимостей: деструктивные действия запрещены;
- Документируйте свои действия максимально четко и подробно: для проверки вашего отчета нам нужна вся информация, которой вы располагаете;
- Сохраняйте конфиденциальность: мы допускаем обмен информацией по найденным проблемам только с организаторами программы;
- Сотрудничайте с нашей командой безопасности: предоставляйте дополнительную информацию и обратную связь после исправления найденных вами уязвимостей;
- Уважайте и принимайте решения нашей команды: в случае, если вы не согласны с мнением наших специалистов, будьте вежливы и объясните, в чем наша ошибка, используя доказательства;
- Мы награждаем исследователей в соответствии с правилами данной программы: окончательное решение о вознаграждении и объеме принимается командой безопасности.
- Перед началом работы ознакомьтесь с правилами программы: соблюдайте наши условия;
- Проводите поиск проблем только в тех системах, которые попадают в скоуп программы: тестирование других систем <Компании> запрещено;
- Используйте легальные методы поиска уязвимостей: деструктивные действия запрещены;
- Документируйте свои действия максимально четко и подробно: для проверки вашего отчета нам нужна вся информация, которой вы располагаете;
- Сохраняйте конфиденциальность: мы допускаем обмен информацией по найденным проблемам только с организаторами программы;
- Сотрудничайте с нашей командой безопасности: предоставляйте дополнительную информацию и обратную связь после исправления найденных вами уязвимостей;
- Уважайте и принимайте решения нашей команды: в случае, если вы не согласны с мнением наших специалистов, будьте вежливы и объясните, в чем наша ошибка, используя доказательства;
- Мы награждаем исследователей в соответствии с правилами данной программы: окончательное решение о вознаграждении и объеме принимается командой безопасности.
ЗАПРЕЩЕННЫЕ ДЕЙСТВИЯ
В случае, если вы будете проводить исследования, прибегая к запрещенным методам и инструментам, мы оставляем за собой право лишить вас вознаграждения или исключить из программы. Таким образом, нарушение правил грозит вам лишением награды, которое вы могли бы получить за свою работу, или исключением из данной и любых других программ <Компании> без возможности восстановления.
- Запрещено использование методов социальной инженерии, в том числе: фишинга, вишинга, смишинга, и др.;
- Физические атаки на компанию и ее инфраструктуру запрещены;
- Запрещено использование чужих аккаунтов: взлом и проникновение в учетные записи пользователей без их согласия недопустимо;
- При получении доступа к конфиденциальной информации запрещено ее копирование, хранение и передача: все копии, сделанные вами в процессе тестировки, должны быть возвращены нашей команде безопасности;
- Эксплуатация уязвимостей после завершения работ по тестированию запрещена;
- Используйте базовые команды для демонстрации эксплуатации обнаруженной вами уязвимости: атаки, направленные на вывод систем из работы (например, DDoS) запрещены.
Также, если ваша программа это подразумевает, вы можете добавить:
- примеры простых команд, которые вы будете готовы принять как POC;
- дополнительные запрещенные методы социальной инженерии.
- Физические атаки на компанию и ее инфраструктуру запрещены;
- Запрещено использование чужих аккаунтов: взлом и проникновение в учетные записи пользователей без их согласия недопустимо;
- При получении доступа к конфиденциальной информации запрещено ее копирование, хранение и передача: все копии, сделанные вами в процессе тестировки, должны быть возвращены нашей команде безопасности;
- Эксплуатация уязвимостей после завершения работ по тестированию запрещена;
- Используйте базовые команды для демонстрации эксплуатации обнаруженной вами уязвимости: атаки, направленные на вывод систем из работы (например, DDoS) запрещены.
Также, если ваша программа это подразумевает, вы можете добавить:
- примеры простых команд, которые вы будете готовы принять как POC;
- дополнительные запрещенные методы социальной инженерии.
ПРАВИЛА ИДЕНТИФИКАЦИИ ТРАФИКА
Мы ценим вашу и работу и хотим, чтобы процесс исследования был для вас комфортным. Однако, наши системы безопасности могут классифицировать некоторые ваши действия как вредоносные. Для того, чтобы этого не произошло, и вы могли проводить работы без задержек, мы просим вас придерживаться следующих правил идентификации трафика:
- в своих запросах используйте HTTP-заголовки вида: X-Bug-Bounty:;
- при регистрации используйте логины вида: .X-Bug-Bounty.
ПРАВИЛА ТЕСТИРОВАНИЯ
При тестировании обнаруженных проблем, мы просим вас придерживаться следующих правил:
- Используйте только собственные учетные записи;
- Не нарушайте конфиденциальность, целостность и доступность информации в наших сервисах во время тестирования;
- Не совершайте действия, которые могут нанести ущерб компании, ее инфраструктуре, клиентам и партнерам;
- Используйте базовые команды для POC или другие минимальные доказательства наличия уязвимости в системе;
- Свяжитесь с нами, если вы понимаете, что для дальнейшего тестирования вам необходимо нарушить эти правила.
- Используйте только собственные учетные записи;
- Не нарушайте конфиденциальность, целостность и доступность информации в наших сервисах во время тестирования;
- Не совершайте действия, которые могут нанести ущерб компании, ее инфраструктуре, клиентам и партнерам;
- Используйте базовые команды для POC или другие минимальные доказательства наличия уязвимости в системе;
- Свяжитесь с нами, если вы понимаете, что для дальнейшего тестирования вам необходимо нарушить эти правила.
ПРАВИЛА РАСКРЫТИЯ ИНФОРМАЦИИ
- Отправляйте отчеты только через форму на платформе;
- Не раскрывайте информацию о найденной вами уязвимости публично без разрешения команды безопасности.
В случае нарушения данных правил, мы будем вынуждены исключить вас из списка участников данной и любых других программ <Компании>, а также принять меры, соответствующие УК РФ.
- Не раскрывайте информацию о найденной вами уязвимости публично без разрешения команды безопасности.
В случае нарушения данных правил, мы будем вынуждены исключить вас из списка участников данной и любых других программ <Компании>, а также принять меры, соответствующие УК РФ.
ПРАВИЛА ОБРАБОТКИ ОТЧЕТОВ
«Правила для нас»
Наша компания ценит время и усилия наших исследователей.
Мы гарантируем ответ в течение 1 рабочего дня.
Обработка отчетов займет не более 5 рабочих дней.
Определение суммы вознаграждения произойдет в течение 10 рабочих дней после установки итогового статуса отчета.
Мы будем информировать вас о нашем прогрессе на каждом этапе процесса и обязательно предупредим, если возникнут задержки.
Наша компания ценит время и усилия наших исследователей.
Мы гарантируем ответ в течение 1 рабочего дня.
Обработка отчетов займет не более 5 рабочих дней.
Определение суммы вознаграждения произойдет в течение 10 рабочих дней после установки итогового статуса отчета.
Мы будем информировать вас о нашем прогрессе на каждом этапе процесса и обязательно предупредим, если возникнут задержки.
ПРАВИЛА ОПРЕДЕЛЕНИЯ КРИТИЧНОСТИ
Мы оставляем за собой право принятия окончательного решения о том, насколько серьезной является найденная уязвимость. Когда мы получаем отчет, мы проводим внутреннее расследование и определяем уровень ее критичности учитывая несколько факторов:
- Какие привилегии нужны злоумышленнику для атаки;
- Насколько сложно обнаружить и использовать уязвимость;
- Нужно ли взаимодействие с пользователем для атаки;
- Как уязвимость влияет на безопасность данных и доступность;
- Какие риски она представляет для бизнеса и репутации компании;
- Сколько пользователей подвергнется риску из-за уязвимости.
- Какие привилегии нужны злоумышленнику для атаки;
- Насколько сложно обнаружить и использовать уязвимость;
- Нужно ли взаимодействие с пользователем для атаки;
- Как уязвимость влияет на безопасность данных и доступность;
- Какие риски она представляет для бизнеса и репутации компании;
- Сколько пользователей подвергнется риску из-за уязвимости.
Мы учитываем все эти и другие факторы, чтобы принять решение и определить приоритеты в оценке уязвимости.
ПРАВИЛА РАБОТЫ С ДУБЛИКАТАМИ
Мы вознаграждаем только первый полученный отчет, который содержит все необходимые сведения для воспроизведения уязвимости. Повторные отчеты, касающиеся той же уязвимости, будут отмечены как дубликаты. Такие отчеты не могут претендовать на вознаграждение.
Отчеты, содержащие описания похожих векторов атак, также будут отмечены как дубликаты, если команда безопасности сочтет, что информации из первого отчета достаточно для исправления всех обнаруженных векторов эксплуатации уязвимости. При этом, отчеты, содержащие описания похожих векторов атак, но раскрывающие при этом дополнительные уязвимости, являющиеся возможным последствием изначальной атаки, могут также претендовать на вознаграждение.
Оригинальным отчетом может быть отчет другого исследователя или внутренней команды безопасности.
Отчеты, содержащие описания похожих векторов атак, также будут отмечены как дубликаты, если команда безопасности сочтет, что информации из первого отчета достаточно для исправления всех обнаруженных векторов эксплуатации уязвимости. При этом, отчеты, содержащие описания похожих векторов атак, но раскрывающие при этом дополнительные уязвимости, являющиеся возможным последствием изначальной атаки, могут также претендовать на вознаграждение.
Оригинальным отчетом может быть отчет другого исследователя или внутренней команды безопасности.
ВОЗНАГРАЖДЕНИЕ
1. Критический (CVSS 3.1 9.0 – 10.0) от 30 000 до 60 000 рублей;
2. Высокий (CVSS 3.1 7.0 – 8.9) от 15 000 до 30 000 рублей);
3. Средний (CVSS 3.1 4.0 – 6.9) от 5 000 до 15 000 рублей);
4. Низкий (CVSS 3.1 0.1 – 3.9) до 5 000 рублей);
5. Информативный (CVSS 3.1 0.1 <) без оплаты.
2. Высокий (CVSS 3.1 7.0 – 8.9) от 15 000 до 30 000 рублей);
3. Средний (CVSS 3.1 4.0 – 6.9) от 5 000 до 15 000 рублей);
4. Низкий (CVSS 3.1 0.1 – 3.9) до 5 000 рублей);
5. Информативный (CVSS 3.1 0.1 <) без оплаты.
Решение об установленном размере вознаграждения остается за компанией и является окончательным.
ДОПОЛНИТЕЛЬНО
Официальный сайт Министерства информационного развития и связи Пермского края:
https://mirs.permkrai.ru/
https://mirs.permkrai.ru/