Госуслуги

Company: Минцифры России

Единый портал государственных и муниципальных услуг. При помощи портала граждане и компании пользуются государственными сервисами, оформляют документы, оплачивают штрафы. Ежедневно на Госуслуги заходят почти 10 млн человек, а количество авторизованных пользователей превысило уже 100 млн.

Rewards are paid to individual entrepreneurs and self-employed persons

Only citizens of the following countries can participate: Russia

Latest changes

This program ended November 30, 2024. Reports are no longer being accepted.

View this company's active programs

Program description

Правила для нас

Мы уважаем время и усилия наших исследователей;
Мы отвечаем в течение 5 рабочих дней;
Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.

Правила для вас

Будьте этичным хакером и уважайте конфиденциальность других пользователей;
Соблюдайте правила, которые устанавливает Минцифры России в рамках данной программы, а также правила платформы The Standoff 365 Bug Bounty;
Соблюдайте правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, которая была получена случайным образом ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным;
Избегайте ситуаций, которые могут привести к прерыванию или ухудшению качества наших услуг. Инструменты автоматического сканирования должны быть ограничены 30 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
Поддерживайте общение с командой безопасности Минцифры России, направляйте ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давайте обратную связь, если у специалистов возникнут вопросы по отчету;
Сообщайте нам обо всех обнаруженных уязвимостях путем создания отчета (кнопка Сдать отчет рядом с названием программы);
Участниками программы могут быть только граждане Российской Федерации в возрасте от 18 лет.

Скоуп

www.gosuslugi.ru
vkapp.gosuslugi.ru
vkminiapp.gosuslugi.ru
culture.gosuslugi.ru
auto.gosuslugi.ru
invest.gosuslugi.ru
payment.gosuslugi.ru
eln.gosuslugi.ru
freeinternet.gosuslugi.ru
knd.gosuslugi.ru
map.gosuslugi.ru
news.gosuslugi.ru
partners.gosuslugi.ru
profidigital.gosuslugi.ru
roles.gosuslugi.ru
rta.gosuslugi.ru
beta-gosbar.gosuslugi.ru
gosbar.gosuslugi.ru
navigator.gosuslugi.ru
chatbots.gosuslugi.ru
elections.gosuslugi.ru
lkparty.gosuslugi.ru
voter.gosuslugi.ru
candidate.gosuslugi.ru
commission.gosuslugi.ru
109.207.1.14
109.207.1.18
109.207.1.38
109.207.1.62
109.207.1.98
109.207.1.108
109.207.1.126
109.207.1.168
109.207.1.232
109.207.2.154
109.207.2.170
109.207.8.38
109.207.8.168
213.59.253.40
213.59.254.7
Мобильное приложение «Госуслуги» iOS
Мобильное приложение «Госуслуги» Android
Мобильное приложение «Госуслуги Авто» iOS
Мобильное приложение «Госуслуги Авто» Android
Мобильное приложение «Госуслуги Культура» iOS
Мобильное приложение «Госуслуги Культура» Android
Мобильное приложение «Госключ» iOS
Мобильное приложение «Госключ» Android
Мобильное приложение «Госуслуги Карта болельщика» iOS
Мобильное приложение «Госуслуги Карта болельщика» Android

В программе участвуют только указанные домены, IP-адреса и мобильные приложения. Все остальные домены и ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.

Вознаграждения за уязвимости

Уязвимость (по уровню опасности)	Вознаграждение
Критический	300 000 – 1 000 000 ₽
Высокий	100 000 – 300 000 ₽
Средний	50 000 – 100 000 ₽
Низкий	10 000 – 30 000 ₽

Публичное раскрытие информации об уязвимости

Публичное раскрытие информации о найденных в рамках программы уязвимостях в данный момент не предусмотрено.

Мы не принимаем и не рассматриваем:

Отчеты сканеров уязвимостей и других автоматизированных инструментов;
Раскрытие информации, не являющейся конфиденциальной, например версии продукта;
Раскрытие публичной информации о пользователе, например nickname;
Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF-маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
Уязвимости партнерских продуктов или сервисов, если пользователи/учетные записи ЕСИА не затронуты напрямую;
Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
Гомографические атаки IDN;
XSPA (сканирование IP/портов во внешние сети);
Инъекция формул Excel CSV;
Скриптинг в документах PDF;
Self-XSS без демонстрации импакта;
Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
Теоретические атаки без доказательства возможности использования;
Уязвимости отказа в обслуживании (DoS), связанные с отправкой большого количества запросов или данных (флуд);
Возможность отправки большого количества сообщений;
Возможность отправки спама или файла вредоносного ПО;
Раскрытие информации через внешние ссылки, не контролируемые Минцифры России (например, поисковые dork’и к приватным защищенным областям robots.txt);
Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.

Недопустимые действия

Исследователям запрещено:

Воздействовать на учетные записи других пользователей без их разрешения;
Использовать обнаруженные уязвимости в личных целях;
Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т.д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Минцифры России, которая проведет атаку в тестовой среде;
Проводить физические атаки на персонал, дата-центры и офисы Минцифры России или поставщиков услуг;
Проводить атаки на системы Минцифры России с использованием техник социальной инженерии (фишинг, вишинг и т.д.) и спам-рассылки клиентам, партнерам и сотрудникам;
Исследовать серверную инфраструктуру, где размещены веб-приложения;
Проникать во внутренние системы веб-сервисов и приложений информационных систем Минцифры России, а также иных информационных ресурсов Минцифры России. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Минцифры России должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Минцифры России;
Совершать попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной уязвимости;
Осуществлять целенаправленную выгрузку персональных данных граждан из внутренних систем веб-сервисов и приложений, а также иных информационных ресурсов, не указанных в программе.

Политика тестирования RCE

Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:

Во время тестирования запрещены любые действия на сервере кроме:

Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
Создания пустого файла в каталоге текущего пользователя.

При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.

Политика тестирования SQL-инъекций

Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:

Во время тестирования запрещены любые действия на сервере кроме:

Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).

Политика загрузки и чтения файлов

Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:

Запрещенные действия при загрузке файлов:

Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
Загрузка вредоносных файлов (например, малвари или шпионского ПО).

При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).

Требования к оформлению отчета

Отчет об уязвимости должен содержать:

Название уязвимости;
Название продукта и версию затрагиваемого ПО (компонента);
Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т.д.;
Рекомендации по устранению уязвимости.

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если при исследовании сервисов Минцифры России обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.
Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка Сдать отчет рядом с названием программы).

Launched February 10, 2023

Edited November 30, 2024

Program format

Vulnerabilities

Reward for vulnerabilities

by severity level

Critical

₽300K–1M

High

₽100K–300K

Medium

₽50K–100K

Low

₽10K–30K

None

₽0–0

Top hackers

Score

5.5K

3.9K

3.6K

Program statistics

₽2,090,000

Paid in total

₽56,486

Average payment

₽0

Paid in the last 90 days

Valid reports

123

Submitted reports

Description

Vulnerabilities

Ranking

Versions