Единый портал государственных и муниципальных услуг. При помощи портала граждане и компании пользуются государственными сервисами, оформляют документы, оплачивают штрафы. Ежедневно на Госуслуги заходят почти 10 млн человек, а количество авторизованных пользователей превысило уже 100 млн.
Для участия в программе необходимо зарегистрироваться на платформе, получить уникальное строковое значение и использовать его в качестве HTTP заголовка в каждом запросе к целевому приложению. В случае отсутствия заголовка вознаграждение может быть не выплачено.
Мы уважаем время и усилия наших исследователей;
Мы отвечаем в течение 5 рабочих дней;
Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Будьте этичным хакером и уважайте конфиденциальность других пользователей;
Соблюдайте правила, которые устанавливает Минцифры России в рамках данной программы, а также правила платформы The Standoff 365 Bug Bounty;
Соблюдайте правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, которая была получена случайным образом ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным;
Избегайте ситуаций, которые могут привести к прерыванию или ухудшению качества наших услуг. Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
Поддерживайте общение с командой безопасности Минцифры России, направляйте ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давайте обратную связь, если у специалистов возникнут вопросы по отчету;
Сообщайте нам обо всех обнаруженных уязвимостях путем создания отчета (кнопка Сдать отчет рядом с названием программы).
В программе участвуют только указанные домены, IP-адреса и мобильные приложения. Все остальные домены и ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.
Участвуя в данной программе, вы соглашаетесь с условиями Оферты.
Уязвимость (по уровню опасности) | Вознаграждение |
---|---|
Критический | 300 000 – 1 000 000 ₽ |
Высокий | 100 000 – 300 000 ₽ |
Средний | 50 000 – 100 000 ₽ |
Низкий | 10 000 – 30 000 ₽ |
Публичное раскрытие информации о найденных в рамках программы уязвимостях в данный момент не предусмотрено.
Исследователям запрещено:
Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Отчет об уязвимости должен содержать:
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов Минцифры России обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.
Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка Сдать отчет рядом с названием программы).