Информационные ресурсы Министерства цифрового развития и связи Амурской области
Company: ГБУ «Центр информационных технологий Амурской области»Информационные ресурсы Министерства цифрового развития и связи Амурской области предназначены для реализации эффективного взаимодействия, обеспечения исполнения функций органов исполнительной власти и получения государственных и муниципальных услуг.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Participants must be aged 18 years and over
Program description
Для участия в программе необходимо зарегистрироваться на платформе, получить уникальное строковое значение и использовать его в качестве HTTP-заголовка в каждом запросе к целевому приложению. При отсутствии заголовка вознаграждение не будет выплачено.
Программа действует до 14 августа 23:59
Обращаем внимание, что общий фонд вознаграждений ограничен.
Заказчиками данной программы являются Министерство цифрового развития и связи Амурской области и подведомственное ему Государственное бюджетное учреждение Амурской области «Центр информационных технологий Амурской области».
Правила для нас
Мы уважаем время и усилия наших исследователей;
Мы отвечаем в течение 5 рабочих дней;
Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Мы отвечаем в течение 5 рабочих дней;
Мы обрабатываем отчеты в течение 10 рабочих дней после ответа;
Мы можем увеличить сроки обработки отчетов, но в таком случае мы проинформируем вас о задержке;
Мы определим сумму вознаграждения в течение 15 рабочих дней после обработки;
Мы сделаем все возможное, чтобы в процессе обработки отчета вы были в курсе нашего прогресса.
Правила для вас
• Отчеты в программе принимаются только от участников, являющихся гражданами РФ в возрасте от 18 лет;
• Будьте этичным хакером и уважайте конфиденциальность других пользователей;
• Соблюдайте правила данной программы, а также правила платформы Standoff 365 Bug Bounty;
• Все отправляемые запросы по этой программе должны содержать уникальный HTTP заголовок, который доступен на платформе. Для получения заголовка необходимо выполнить вход в свою учетную запись на платформе;
• Соблюдайте правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, которая была получена случайным образом ходе поиска уязвимостей или их демонстрации;
• Инструменты автоматического сканирования должны быть ограничены 10 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
• Сообщайте нам обо всех обнаруженных уязвимостях путем создания отчета (кнопка «Сдать отчет» рядом с названием программы);
• В случае если эксплуатация уязвимости в производственной среде может привести к нарушению бизнес- и технологических процессов Заказчиков, участник обязуется воздержаться от действий по эксплуатации такой уязвимости и указать в направляемом им отчете все данные, необходимые для проверки возможности эксплуатации найденной уязвимости вне производственной среды;
• Информация, полученная в рамках участия в программе, является конфиденциальной. Её распространение (в том числе публикация) на тематических форумах, в чатах (закрытых чатах), социальных сетях и т.п., используя информационно-телекоммуникационную сеть Интернет, возможно только с письменного разрешения Министерства цифрового развития и связи Амурской области.
• Будьте этичным хакером и уважайте конфиденциальность других пользователей;
• Соблюдайте правила данной программы, а также правила платформы Standoff 365 Bug Bounty;
• Все отправляемые запросы по этой программе должны содержать уникальный HTTP заголовок, который доступен на платформе. Для получения заголовка необходимо выполнить вход в свою учетную запись на платформе;
• Соблюдайте правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, которая была получена случайным образом ходе поиска уязвимостей или их демонстрации;
• Инструменты автоматического сканирования должны быть ограничены 10 запросами в секунду к одному целевому узлу, суммируя все инструменты и потоки, работающие параллельно;
• Сообщайте нам обо всех обнаруженных уязвимостях путем создания отчета (кнопка «Сдать отчет» рядом с названием программы);
• В случае если эксплуатация уязвимости в производственной среде может привести к нарушению бизнес- и технологических процессов Заказчиков, участник обязуется воздержаться от действий по эксплуатации такой уязвимости и указать в направляемом им отчете все данные, необходимые для проверки возможности эксплуатации найденной уязвимости вне производственной среды;
• Информация, полученная в рамках участия в программе, является конфиденциальной. Её распространение (в том числе публикация) на тематических форумах, в чатах (закрытых чатах), социальных сетях и т.п., используя информационно-телекоммуникационную сеть Интернет, возможно только с письменного разрешения Министерства цифрового развития и связи Амурской области.
Скоуп
Область действия программы:
https://digital.amurobl.ru/
https://www.amurobl.ru/
https://or28.amurobl.ru/
https://gu.amurobl.ru/
https://cit.amurobl.ru/
https://digital.amurobl.ru/
https://www.amurobl.ru/
https://or28.amurobl.ru/
https://gu.amurobl.ru/
https://cit.amurobl.ru/
В программе участвуют только указанные домены. Все остальные домены и ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.
Размеры вознаграждений в зависимости от критичности
Критический: 30 000 – 50 000 ₽.
Высокий: 20 000 – 30 000 ₽.
Средний: 10 000 – 20 000 ₽.
Низкий: 0 – 10 000 ₽.
Высокий: 20 000 – 30 000 ₽.
Средний: 10 000 – 20 000 ₽.
Низкий: 0 – 10 000 ₽.
Вознаграждению подлежит только первый полученный отчет, который содержит все необходимые сведения для воспроизведения уязвимости. Повторные отчеты, касающиеся той же уязвимости, будут отмечены как дубликаты. Такие отчеты не могут претендовать на вознаграждение.
Публичное раскрытие информации об уязвимости
Публичное раскрытие информации о найденных в рамках программы уязвимостях не предусмотрено.
Мы не принимаем и не рассматриваем:
– Отчеты сканеров уязвимостей и других автоматизированных инструментов;
– Раскрытие технической или нечувствительной информации (например, версии продукта или используемого ПО);
– Раскрытие публичной информации о пользователях;
– Отчеты, которые основаны на версии используемого продукта/протокола, без демонстрации реального наличия уязвимости;
– Отчеты об отсутствии механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы (например: отсутствие HTTP заголовков безопасности (CSP, HSTS, и т.д.),отсутствие флагов безопасности Сookie (HttpOnly, Secure и т.д.) или защиты от CSRF);
– Отчеты об отсутствии лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
– Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
– Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
– XSPA (сканирование IP/портов во внешние сети);
– Информация об IP-адресах, DNS-записях и открытых портах;
– Инъекция формул Excel CSV;
– Скриптинг в документах PDF;
– Возможность отправки спама или файла вредоносного ПО;
– Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
– Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
– Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения;
– Ошибки в настройке CORS без демонстрации их эксплуатации;
– Отчеты о возможности получения данных с применением методов Tabnabbing, Clickjacking;
– Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
– Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
– Раскрытие информации через внешние ссылки, не контролируемые Заказчиками;
– Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем (теоретические атаки без доказательства возможности использования);
– Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
– Уязвимости, раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных;
– Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS).
– Раскрытие технической или нечувствительной информации (например, версии продукта или используемого ПО);
– Раскрытие публичной информации о пользователях;
– Отчеты, которые основаны на версии используемого продукта/протокола, без демонстрации реального наличия уязвимости;
– Отчеты об отсутствии механизма защиты или лучших практик без демонстрации реального влияния на безопасность пользователя или системы (например: отсутствие HTTP заголовков безопасности (CSP, HSTS, и т.д.),отсутствие флагов безопасности Сookie (HttpOnly, Secure и т.д.) или защиты от CSRF);
– Отчеты об отсутствии лучших практик в конфигурации DNS и почтовых сервисов (DKIM/DMARC/SPF/TXT);
– Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
– Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
– XSPA (сканирование IP/портов во внешние сети);
– Информация об IP-адресах, DNS-записях и открытых портах;
– Инъекция формул Excel CSV;
– Скриптинг в документах PDF;
– Возможность отправки спама или файла вредоносного ПО;
– Уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
– Отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
– Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения;
– Ошибки в настройке CORS без демонстрации их эксплуатации;
– Отчеты о возможности получения данных с применением методов Tabnabbing, Clickjacking;
– Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
– Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
– Раскрытие информации через внешние ссылки, не контролируемые Заказчиками;
– Уязвимости, требующие выполнения сложного или маловероятного сценария взаимодействия с пользователем (теоретические атаки без доказательства возможности использования);
– Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
– Уязвимости, раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных;
– Утечка конфиденциальных маркеров (например, маркера сброса пароля) доверенным третьим лицам по защищенному соединению (HTTPS).
Недопустимые действия
Исследователям запрещено:
– Воздействовать на учетные записи других пользователей без их разрешения;
– Использовать обнаруженные уязвимости в личных целях;
– Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
– Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т.д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Заказчиков, которая проведет атаку в тестовой среде;
– Проводить физические атаки на персонал, дата-центры и офисы Заказчиков или поставщиков услуг;
– Проводить атаки на системы Заказчиков с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
– Исследовать серверную инфраструктуру, где размещены веб-приложения;
– Совершать попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной уязвимости;
– Проникать во внутренние системы веб-сервисов и приложений информационных систем, а также иных информационных ресурсов Заказчиков. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Заказчиков должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Заказчиков;
– Осуществлять целенаправленную выгрузку персональных данных граждан из внутренних систем веб-сервисов и приложений, а также иных информационных ресурсов, не указанных в программе.
– Воздействовать на учетные записи других пользователей без их разрешения;
– Использовать обнаруженные уязвимости в личных целях;
– Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
– Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т.д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Заказчиков, которая проведет атаку в тестовой среде;
– Проводить физические атаки на персонал, дата-центры и офисы Заказчиков или поставщиков услуг;
– Проводить атаки на системы Заказчиков с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
– Исследовать серверную инфраструктуру, где размещены веб-приложения;
– Совершать попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной уязвимости;
– Проникать во внутренние системы веб-сервисов и приложений информационных систем, а также иных информационных ресурсов Заказчиков. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Заказчиков должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Заказчиков;
– Осуществлять целенаправленную выгрузку персональных данных граждан из внутренних систем веб-сервисов и приложений, а также иных информационных ресурсов, не указанных в программе.
Политика тестирования RCE
Тестирование уязвимостей, которые могут приводить к удаленному исполнению кода, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
– Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
– Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
– Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Во время тестирования запрещены любые действия на сервере кроме:
– Выполнения команд ifconfig (ipconfig), hostname, whoami, id;
– Чтения содержимого файлов /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini);
– Создания пустого файла в каталоге текущего пользователя.
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика тестирования SQL-инъекций
Тестирование уязвимостей, которые могут приводить к внедрению команд SQL, должно выполняться в соответствии с данными правилами:
Во время тестирования запрещены любые действия на сервере кроме:
– Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
– Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
– Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Во время тестирования запрещены любые действия на сервере кроме:
– Получения данных о текущей БД (SELECT database()), ее версии (SELECT @@version), текущего пользователя (SELECT user(), SELECT system_user()) или имени хоста (SELECT @@hostname);
– Получения схемы БД (SELECT table_schema), списка таблиц в ней (SELECT table_name) и имен столбцов в таблицах (SELECT column_name);
– Выполнения математических, конверсионных или логических запросов (включая использование SLEEP) без извлечения данных (кроме тех, что перечислены выше).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Политика загрузки и чтения файлов
Тестирование уязвимостей, которые могут приводить к чтению произвольных файлов на сервере или произвольной загрузке файлов, должно выполняться в соответствии с данными правилами:
Запрещенные действия при загрузке файлов:
– Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
– Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
– Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Запрещенные действия при загрузке файлов:
– Изменение, модификация, удаление и замена любых файлов на сервере (включая системные), кроме тех, что ассоциированы с вашей учетной записью либо с учетной записью пользователя, который явно выразил свое согласие;
– Загрузка файлов, которые могут вызвать отказ в обслуживании (например, файлов большого размера);
– Загрузка вредоносных файлов (например, малвари или шпионского ПО).
При получении возможности чтения произвольных файлов на сервере запрещены любые действия кроме чтения таких файлов, как /etc/passwd и /proc/sys/kernel/hostname (drive:/boot.ini, drive:/install.ini).
При необходимости проведения иных действий необходимо предварительно согласовать их с нашими специалистами безопасности.
Требования к оформлению отчета
Отчет об уязвимости должен содержать:
– Название уязвимости;
– Уникальное строковое значение, использованное в качестве HTTP-заголовка в каждом запросе для определения трафика исследователя;
– Название информационного ресурса (домен), а также описание функционального компонента (раздел, страница, форма, API-endpoint), в котором была обнаружена уязвимость;
– Подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
– Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т.д.;
– Рекомендации по устранению уязвимости.
Дополнительно к отчету могут быть приложены видео и скриншоты.
Если при исследовании обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.
Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).
– Название уязвимости;
– Уникальное строковое значение, использованное в качестве HTTP-заголовка в каждом запросе для определения трафика исследователя;
– Название информационного ресурса (домен), а также описание функционального компонента (раздел, страница, форма, API-endpoint), в котором была обнаружена уязвимость;
– Подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
– Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т.д.;
– Рекомендации по устранению уязвимости.
Дополнительно к отчету могут быть приложены видео и скриншоты.
Если при исследовании обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.
Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).