<p>Международные киберучения по информационной безопасности.<br>Сильнейшие исследователи проверяют защищенность IT-систем виртуального Государства F.</p>

Standoff 11

Осуществляет финансовые операции между физическими и юридическими лицами, выполняет межбанковские переводы и предоставляет услуги интернет-банкинга

STF Bank

Компания с базовой IT-инфраструктурой: почтовый сервер, веб-приложения, ERP- и CRM-системы и другие сервисы

Hello World Systems

Производит электроэнергию для нужд граждан и для нескольких крупных производств

Big Bro Group

## Скоуп

* gosuslugi.ru
* www.gosuslugi.ru
* payment.gosuslugi.ru
* freeinternet.gosuslugi.ru
* gostapi.gosuslugi.ru
* rta.gosuslugi.ru
* lk.gosuslugi.ru
* culture.gosuslugi.ru
* voter.gosuslugi.ru
* commission.gosuslugi.ru
* roles.gosuslugi.ru
* widget.gosuslugi.ru
* 109.207.1.114
* 109.207.1.118
* 109.207.1.126
* 109.207.1.62
* 109.207.1.97
* 109.207.1.98
* 109.207.2.147
* 109.207.2.153
* 109.207.8.114
* 109.207.8.118
* 109.207.8.97
* 109.207.9.147
* 213.59.253.7
* 213.59.253.40
* 213.59.254.6
* 213.59.254.7

В программе участвуют только указанные домены. Все остальные домены не входят в скоуп. В скоуп входят только web-ресурсы и указанные мобильные приложения. Остальные ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.


Участвуя в данной программы, участник соглашается с условиями [Оферты](https://api.standoff365.com/api/bug-bounty/program/docs/abd9a590-224b-4fb1-ad08-1905e8c13a01)

Участникам необходимо:

1. Соблюдать правила, которые устанавливают Организатор конкурса и Минцифры России в программе по исследованию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным. Не разглашать информацию об уязвимости без прямого письменного разрешения Минцифры России и Организатора Конкурса.
3.  Поддерживать общение с командой по безопасности Организатора Конкурса, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы по отчету.
4. Сообщать Организатору Конкурса обо всех уязвимостях, выявленных в рамках участия в программе, путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).


## Публичное раскрытие информации об уязвимости

**Публичное раскрытие в данный момент не предусмотрено.**

## Мы не принимаем и не рассматриваем:

*	Отчеты сканеров уязвимостей и других автоматизированных инструментов;
*	Раскрытие информации, не являющейся конфиденциальной, например версия продукта;
*	Раскрытие публичной информации о пользователе, например nickname;
*	Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
*	Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
*	Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
*	Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
*	Уязвимости партнерских продуктов или сервисов, если пользователи/учетные записи ЕСИА не затронуты напрямую;
*	Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
*	Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
*	Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
*	Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
*	Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
*	Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
*	Гомографические атаки IDN;
*	XSPA (сканирование IP/портов во внешние сети);
*	Инъекция формул Excel CSV;
*	Скриптинг в документах PDF;
*	Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
*	Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
*	Теоретические атаки без доказательства возможности использования;
*	Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд);
*	Возможность отправки большого количества сообщений;
*	Возможность отправки спама или файла вредоносного ПО;
*	Раскрытие информации через внешние ссылки, не контролируемые Минцифры России (например, поисковые dork’и к приватным защищенным областям robots.txt);
*	Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
*	Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
*	Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.

## Недопустимые действия

Исследователям запрещено:

*	Воздействовать на учетные записи других пользователей без их разрешения;
*	Использовать обнаруженную уязвимость в личных целях;
*	Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
*	Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Минцифры России, которая проведет атаку в тестовой среде;
*	Проводить физические атаки на персонал, дата-центры и офисы Минцифры России или поставщиков услуг;
*	Проводить атаки на системы Минцифры России с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
* Исследовать серверную инфраструктуру, где размещены веб-приложения;
* Проникать во внутренние системы веб-сервисов и приложений информационных систем Минцифры России, а также иных информационных ресурсов Минцифры России. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Минцифры России должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Минцифры России;
* Использовать обнаруженную уязвимость для доступа к конфиденциальной информации (персональных данных граждан), компрометации аккаунтов пользователей или для других действий, выходящих за пределы минимально необходимых для демонстрации найденной уязвимости.

## Требования к оформлению отчета

Отчет об уязвимости должен содержать:
*	Название уязвимости;
*	Название продукта и версию затрагиваемого ПО (компонента);
*	Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
*	Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д;
*	Рекомендации по устранению уязвимости.

## Вознаграждение

Информация о вознаграждении указана в блоке **Награда за уязвимости**. За уязвимости среднего уровня опасности предусмотрено денежное вознаграждение до 50 тысяч рублей. За некритичные уязвимости ниже среднего уровня будут предложены брендированные подарки. Доставка осуществляется в пределах территории РФ.

&nbsp;

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.

Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).

Госуслуги

Единый портал государственных и муниципальных услуг. При помощи портала граждане и компании пользуются государственными сервисами, оформляют документы, оплачивают штрафы. Ежедневно на Госуслуги заходят почти 10 млн человек, а количество авторизованных пользователей превысило уже 100 млн.

Федеральное министерство, которое занимается вопросами ИТ, связи и массовых коммуникаций. В зоне ответственности Минцифры — формирование профильных нормативно-правовых актов и развитие отраслей в интересах граждан, бизнеса и госсектора.

Минцифры России

# Принимаемые языки:
- Английский
- Русский

# Правила вознаграждения:
Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Типы уязвимостей, подлежащие вознаграждению, указаны в таблице "Размер вознаграждения" в конце правил программы BugBounty.
Оплата уязвимостей, не перечисленных в таблице "Размер вознаграждения" присуждается на усмотрение владельца программы.

# Область действия Bug Bounty:

## Домены:

\*.target.my.com и \*.ads.vk.com за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.

## Важно:

Ошибки в выявленные в демо-стендах и доменах используемых для обучения клиентов принимаются как информационные и не оплачиваются. 

Публичные уязвимости 0-day/1-day могут считаться дубликатами в течении нескольких недель после публикации информации об уязвимости если уязвимость известна нашей команде из открытых источников и мы работаем над ее устранением или исправлением.

# Ограничения области действия Bug Bounty:

## Мы не принимаем и не рассматриваем отчеты с:

- Отчеты сканеров уязвимостей и других автоматизированных инструментов;
- Раскрытие информации, не являющейся конфиденциальной, например, версия продукта;
- Раскрытие публичной информации о пользователе, например, nickname;
- Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
- Отчеты об отсутствующем механизме защиты / лучшей текущей практике (например, отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на - безопасность пользователя или системы;
- Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
- Кроссайтовая подделки запросов, приводящие к выходу из системы (logout CSRF);
- Уязвимости партнерских продуктов или сервисов, если пользователи / учетные записи Mail.Ru или VK.com не затронуты напрямую;
- Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
- Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
- Open redirections принимаются только в том случае, если определено влияние на безопасность, например, возможность кражи авторизационного токена;
- Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
- Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
- Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
- Гомографические атаки IDN;
- XSPA (сканирование IP/портов во внешние сети);
- Инъекция формул Excel CSV;
- Скриптинг в документах PDF;
- Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
- Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
- Теоретические атаки без доказательства возможности использования;
- Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд)
- Возможность отправки большого количества сообщений;
- Возможность отправки спама или файла вредоносного ПО;
- Раскрытие информации через внешние ссылки, не контролируемые Mail.Ru или VK.com (например, поисковые dork’и к приватным защищенным областям robots.txt);
- Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
- Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
- Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.


## Мы рассматриваемые отчеты как информационные, если:
- Разглашается информация о взломанных учетных записях внешних пользователей для сервисов Mail.Ru или VK.com;
- Уязвимость выявлена в сервисе, самостоятельно размещенном пользователем (сеть хостинга Mail.Ru\VK CS, хостинг ресурсов игровых команд, хостинг студенческих или лабораторных работ для образовательных проектов и т.д.).


# Размер вознаграждения:

| Уязвимости |  Вознаграждение |
| ----------- | ----------- |
| <img width="100px"></img> | <img width="200px"></img> |
| Удаленное исполнение кода (RCE) | 360 000 ₽ |
| Инъекции (SQLi или альтернатива) | 240 000 ₽ |
| Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions | 240 000 ₽ |
| RCE в Dev. инфраструктуре / изолированный или виртуализированный одноцелевой процесс (например преобразование изображений) | 60 000 ₽ |
| SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 60 000 ₽ |
| SSRF, слепые, кроме выделенных прокси | 30 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты) | 120 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 9 000 - 120 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения\* или инфраструктуры / повышение привилегий роли в организации | 9 000 ₽ -  120 000 ₽ |
| Обход аутентификации администратор/поддержка | 30 000 ₽ |

&nbsp;

*\*подробный вывод ошибок, раскрытие путей локальной установки, вывод phpinfo(), счетчики производительности и т.д. не считаются конфиденциальными, такие сообщения обычно принимаются без вознаграждения. Не принимаются сообщения о раскрытии версий программного обеспечения*

My Target

myTarget — платформа для самостоятельного размещения рекламы в соцсетях ВКонтакте и Одноклассники и на других проектах компании VK, которая охватывает более 90% пользователей рунета.

VK — крупнейшая российская технологическая компания. Продуктами и сервисами VK пользуются больше 90% аудитории рунета. Безопасность сервисов VK и защита данных пользователей - ключевые приоритеты для компании. Мы тестируем устойчивость наших продуктов к кибератакам, используя лучшие практики.

Standoff 365

Подать заявку на участие

Подать заявку на доклад