avatar

Единая система идентификации и аутентификации

Компания — Минцифры России

Единая система идентификации и аутентификации. Она обеспечивает взаимодействие разных информационных систем, через которые предоставляют госуслуги. Авторизуясь при помощи ЕСИА, пользователь может зайти и на федеральные Госуслуги, и на свой региональный портал, и на другие сайты ведомств. Благодаря этой системе не нужно менять логин и пароль для разных государственных ресурсов.

Описание программы

Для участия в программе необходимо зарегистрироваться на платформе, получить уникальное строковое значение и использовать его в качестве HTTP заголовка в каждом запросе к целевому приложению. В случае отсутствия заголовка вознаграждение может быть не выплачено.

Скоуп

  • esia.gosuslugi.ru
  • 109.207.2.205
  • 213.59.254.8

В программе участвуют только указанные домены. Все остальные домены не входят в скоуп. В скоуп входят только web-ресурсы. Остальные ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.

Участвуя в данной программы, участник соглашается с условиями Оферты

Участникам необходимо:

  1. Соблюдать правила, которые устанавливают Организатор конкурса и Минцифры России в программе по исследованию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным. Не разглашать информацию об уязвимости без прямого письменного разрешения Минцифры России и Организатора Конкурса.
  3. Поддерживать общение с командой по безопасности Организатора Конкурса, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы по отчету.
  4. Сообщать Организатору Конкурса обо всех уязвимостях, выявленных в рамках участия в программе, путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).

Публичное раскрытие информации об уязвимости

Публичное раскрытие в данный момент не предусмотрено.

Мы не принимаем и не рассматриваем:

  • Отчеты сканеров уязвимостей и других автоматизированных инструментов;
  • Раскрытие информации, не являющейся конфиденциальной, например версия продукта;
  • Раскрытие публичной информации о пользователе, например nickname;
  • Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
  • Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
  • Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
  • Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
  • Уязвимости партнерских продуктов или сервисов, если пользователи/учетные записи ЕСИА не затронуты напрямую;
  • Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
  • Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
  • Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
  • Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
  • Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
  • Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
  • Гомографические атаки IDN;
  • XSPA (сканирование IP/портов во внешние сети);
  • Инъекция формул Excel CSV;
  • Скриптинг в документах PDF;
  • Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
  • Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
  • Теоретические атаки без доказательства возможности использования;
  • Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд);
  • Возможность отправки большого количества сообщений;
  • Возможность отправки спама или файла вредоносного ПО;
  • Раскрытие информации через внешние ссылки, не контролируемые Минцифры России (например, поисковые dork’и к приватным защищенным областям robots.txt);
  • Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
  • Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
  • Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.

Недопустимые действия

Исследователям запрещено:

  • Воздействовать на учетные записи других пользователей без их разрешения;
  • Использовать обнаруженную уязвимость в личных целях;
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Минцифры России, которая проведет атаку в тестовой среде;
  • Проводить физические атаки на персонал, дата-центры и офисы Минцифры России или поставщиков услуг;
  • Проводить атаки на системы Минцифры России с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
  • Исследовать серверную инфраструктуру, где размещены веб-приложения;
  • Проникать во внутренние системы веб-сервисов и приложений информационных систем Минцифры России, а также иных информационных ресурсов Минцифры России. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Минцифры России должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Минцифры России;
  • Использовать обнаруженную уязвимость для доступа к конфиденциальной информации (персональных данных граждан), компрометации аккаунтов пользователей или для других действий, выходящих за пределы минимально необходимых для демонстрации найденной уязвимости.

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

  • Название уязвимости;
  • Название продукта и версию затрагиваемого ПО (компонента);
  • Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
  • Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д;
  • Рекомендации по устранению уязвимости.

Вознаграждение

Информация о вознаграждении указана в блоке Награда за уязвимости. За уязвимости среднего уровня опасности предусмотрено денежное вознаграждение до 50 тысяч рублей. За некритичные уязвимости ниже среднего уровня будут предложены брендированные подарки. Доставка осуществляется в пределах территории РФ.

 

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.

Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).

Документы
Запущена 10 февраля, 09:00
Изменена 10 февраля, 09:00
Формат программы
По уязвимостям
Награда за уязвимости
по уровню опасности
Критический
200K–1M ₽
Высокий
50K–200K ₽
Средний
0–50K ₽
Низкий
0–0 ₽
Отсутствует
0–0 ₽
Статистика по программе
350 000 ₽
Всего выплачено
350 000 ₽
Средняя выплата
350 000 ₽
Выплачено за последние 90 дней
12
Всего отчетов принято
Описание
Уязвимости
Рейтинг