Осуществляет финансовые операции между физическими и юридическими лицами, выполняет межбанковские переводы и предоставляет услуги интернет-банкинга

STF Bank

Компания с базовой IT-инфраструктурой: почтовый сервер, веб-приложения, ERP- и CRM-системы и другие сервисы

Hello World Systems

Производит электроэнергию для нужд граждан и для нескольких крупных производств

Big Bro Group

## Скоуп

* esia.gosuslugi.ru
* 109.207.2.205
* 213.59.254.8

В программе участвуют только указанные домены. Все остальные домены не входят в скоуп. В скоуп входят только web-ресурсы. Остальные ресурсы (включая базы данных, почтовые серверы и так далее) в скоуп не входят.

Участвуя в данной программы, участник соглашается с условиями [Оферты](https://api.standoff365.com/api/bug-bounty/program/docs/794533bf-68a7-4e05-ba36-84fa145b3123)

Участникам необходимо:

1. Соблюдать правила, которые устанавливают Организатор конкурса и Минцифры России в программе по исследованию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным. Не разглашать информацию об уязвимости без прямого письменного разрешения Минцифры России и Организатора Конкурса.
3.  Поддерживать общение с командой по безопасности Организатора Конкурса, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы по отчету.
4. Сообщать Организатору Конкурса обо всех уязвимостях, выявленных в рамках участия в программе, путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).

## Публичное раскрытие информации об уязвимости

**Публичное раскрытие в данный момент не предусмотрено.**

## Мы не принимаем и не рассматриваем:

*	Отчеты сканеров уязвимостей и других автоматизированных инструментов;
*	Раскрытие информации, не являющейся конфиденциальной, например версия продукта;
*	Раскрытие публичной информации о пользователе, например nickname;
*	Отчеты, основанные на версии продукта/протокола без демонстрации реального наличия уязвимости;
*	Отчеты об отсутствующем механизме защиты/лучшей текущей практике (например отсутствие CSRF маркера, защита от framing/clickjacking) без демонстрации реального влияния на безопасность пользователя или системы;
*	Сообщения об опубликованных и неопубликованных политиках SPF и DMARC;
*	Кроссайтовые подделки запросов, приводящие к выходу из системы (logout CSRF);
*	Уязвимости партнерских продуктов или сервисов, если пользователи/учетные записи ЕСИА не затронуты напрямую;
*	Безопасность рутированных, jailbreaked или иным образом модифицированных устройств и приложений;
*	Возможность обратного инжиниринга приложения или отсутствие бинарной защиты;
*	Open redirections принимаются только в том случае, если определено влияние на безопасность, например возможность кражи авторизационного токена;
*	Ввод неформатированного текста, звука, изображения, видео в ответ сервера вне пользовательского интерфейса (например, в данных JSON или сообщении об ошибке), если это не приводит к подмене пользовательского интерфейса, изменению поведения пользовательского интерфейса или другим негативным последствиям;
*	Same Site scripting, reflected download и подобные атаки с сомнительным воздействием;
*	Отчеты, связанные с CSP, для доменов без CSP и доменных политик с небезопасными eval и/или небезопасными inline;
*	Гомографические атаки IDN;
*	XSPA (сканирование IP/портов во внешние сети);
*	Инъекция формул Excel CSV;
*	Скриптинг в документах PDF;
*	Атаки, требующие полного доступа к локальной учетной записи или профилю браузера;
*	Атаки со сценариями, где уязвимость в стороннем сайте или приложении требуется как необходимое условие и не демонстрируется;
*	Теоретические атаки без доказательства возможности использования;
*	Уязвимости отказа в обслуживании (DoS) связанные с отправкой большого количества запросов или данных (флуд);
*	Возможность отправки большого количества сообщений;
*	Возможность отправки спама или файла вредоносного ПО;
*	Раскрытие информации через внешние ссылки, не контролируемые Минцифры России (например, поисковые dork’и к приватным защищенным областям robots.txt);
*	Раскрытие неиспользуемых или должным образом ограниченных ключей JS API (например, ключ API для внешнего картографического сервиса);
*	Возможность выполнить действие, недоступное через пользовательский интерфейс, без выявленных рисков безопасности;
*	Уязвимости раскрывающие только учетные записи пользователей, не содержащие пароля или иных персональных данных.

## Недопустимые действия

Исследователям запрещено:

*	Воздействовать на учетные записи других пользователей без их разрешения;
*	Использовать обнаруженную уязвимость в личных целях;
*	Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов;
*	Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Минцифры России, которая проведет атаку в тестовой среде;
*	Проводить физические атаки на персонал, дата-центры и офисы Минцифры России или поставщиков услуг;
*	Проводить атаки на системы Минцифры России с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам;
*	Исследовать серверную инфраструктуру, где размещены веб-приложения;
* Проникать во внутренние системы веб-сервисов и приложений информационных систем Минцифры России, а также иных информационных ресурсов Минцифры России. Программа по поиску уязвимостей в веб-сервисах и приложениях информационных систем Минцифры России должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Исследователем во внутренние системы веб-сервисов и приложений информационных систем Минцифры России;
* Использовать обнаруженную уязвимость для доступа к конфиденциальной информации (персональных данных граждан), компрометации аккаунтов пользователей или для других действий, выходящих за пределы минимально необходимых для демонстрации найденной уязвимости.

## Требования к оформлению отчета

Отчет об уязвимости должен содержать:
*	Название уязвимости;
*	Название продукта и версию затрагиваемого ПО (компонента);
*	Проверку концепции (proof of concept) или подробное описание обнаруженной уязвимости и шагов по ее воспроизведению;
*	Описание сценария атаки: кто может использовать уязвимость, для какой выгоды, как она эксплуатируется и т. д;
*	Рекомендации по устранению уязвимости.

## Вознаграждение

Информация о вознаграждении указана в блоке **Награда за уязвимости**. За уязвимости среднего уровня опасности предусмотрено денежное вознаграждение до 50 тысяч рублей. За некритичные уязвимости ниже среднего уровня будут предложены брендированные подарки. Доставка осуществляется в пределах территории РФ.

&nbsp;

Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.

Если при исследовании сервисов компании обнаружено несколько проблем безопасности, необходимо подготовить отчет о каждой выявленной уязвимости отдельно.

Передача информации об обнаруженной уязвимости происходит путем создания отчета (кнопка «Сдать отчет» рядом с названием программы).

Единая система идентификации и аутентификации

Единая система идентификации и аутентификации. Она обеспечивает взаимодействие разных информационных систем, через которые предоставляют госуслуги. Авторизуясь при помощи ЕСИА, пользователь может зайти и на федеральные Госуслуги, и на свой региональный портал, и на другие сайты ведомств. Благодаря этой системе не нужно менять логин и пароль для разных государственных ресурсов.

Федеральное министерство, которое занимается вопросами ИТ, связи и массовых коммуникаций. В зоне ответственности Минцифры — формирование профильных нормативно-правовых актов и развитие отраслей в интересах граждан, бизнеса и госсектора.

Минцифры России

## Скоуп

* *.standoff365.com

Standoff 365 включает в себя несколько проектов: «Киберполигон», Bug Bounty и Talks. В конкурсе участвуют все поддомены, кроме: 

* meet.standoff365.com
* chat.standoff365.com
* vpn.standoff365.com
* partners.standoff365.com
* 365-vpn.standoff365.com
* publicvpn.standoff365.com
* privatevpn.standoff365.com

**Максимально возможное вознаграждение** мы выплачиваем **только за уязвимости, связанные с багбаунти и аутентификацией**. Сумма вознаграждения за остальные уязвимости может быть меньшей.

## Программа для тестов

Для тестирования уязвимостей, связанных с правами доступа, создана специальная закрытая программа багбаунти. В ее названии, описании и скоупе содержатся флаги (секретные строки) в формате `^STF365[a-zA-Z0-9\-_@]+$`. Получив любой из флагов или другие данные этой закрытой программы, вы увеличите сумму вознаграждения за отчет на 10%.

Для удобства тестирования в программу добавлены отчет, комментарий и другие данные. Они приведены в таблице ниже.

| Тип данных | Значение |
| --- | --- |
| Приватная программа (id) | 80 |
| Приватная программа (slug) | [standoff-priv8t](https://bugbounty.standoff365.com/programs/standoff-priv8t) |
| Документ в правилах приватной программы (uuid) | e1a49787-ce62-4520-835d-c69bb1646a43 |
| Отчет (id) | 1161 |
| Файл, приложенный к отчету (uuid) | 93e5dd37-d7a7-4a21-9014-88ccc3ada656 |
| Комментарий к отчету (id) | 4393 |
| Файл, приложенный к комментарию (uuid) | f837a477-1b71-4f25-9697-26c9b97331d7 |

Пожалуйста, не создавайте лишние отчеты в программе. Если вам необходимы дополнительные данные для тестирования, напишите на почту support@standoff365.com.

## Вознаграждения за уязвимости

| Уязвимость | Вознаграждение |
| --- | --- |
| Удаленное выполнение кода (RCE) | 200 000–1 000 000 ₽ |
| Внедрение (внедрение SQL-кода или его аналоги) | 120 000–500 000 ₽ |
| Доступ к локальным файлам или их модификация (LFR, RFI, XXE) | 70 000–350 000 ₽ |
| Обход аутентификации интерфейса администрирования | 50 000–250 000 ₽ |
| Access сontrol с получением данных отчета | 50 000–250 000 ₽ |
| Access сontrol с получением данных закрытой программы | 50 000–150 000 ₽ |
| Подмена запросов на стороне сервера (SSRF, не вслепую) | 50 000–100 000 ₽ |

&nbsp;

Все остальные уязвимости, не указанные в таблице, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется). 

Standoff 365 не выплачивает вознаграждение:

* за отчеты сканеров безопасности и других автоматизированных инструментов;
* раскрытие несекретной информации (наименования ПО или его версии);
* информацию об IP-адресах, DNS-записях и открытых портах;
* проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
* уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
* отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
* отчеты об отсутствии SSL и других лучших практик (best current practices);
* уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
* уязвимости 0-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад;
* уязвимости 1-day, информация о которых получена командой по безопасности из открытых источников;
* недостатки, связанные с некорректной настройкой почтовых серверов (DMARC, DKIM и другие) и напрямую не влияющие на пользователей или данные приложения;
* Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.

Отчеты о лучших практиках (отсутствие флагов secure, httponly и т. д.) принимаются как информативные.

## Требования к участникам

1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
3. Сотрудники Standoff 365 не могут участвовать в программе.

Исследователям необходимо:

1. Соблюдать правила, которые устанавливает Standoff 365 в своей программе по раскрытию уязвимостей, а также правила платформы Standoff 365 Bug Bounty.
2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
4. Не разглашать сведения об уязвимости до их публичного раскрытия Standoff 365.

## Обязанности Standoff 365

Standoff 365 обязуется:

1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

## Публичное раскрытие информации об уязвимости

**Публичное раскрытие по взаимному соглашению.** Standoff 365 обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

## Недопустимые действия

Исследователям запрещено:  

* Воздействовать на учетные записи других пользователей без их разрешения.
* Использовать обнаруженную уязвимость в личных целях.
* Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
* Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Standoff 365, которая проведет атаку в тестовой среде.
* Проводить физические атаки на персонал, дата-центры и офисы компании.
* Проводить атаки на системы Standoff 365 с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
* Исследовать серверную инфраструктуру, где размещены веб-приложения.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Standoff 365

Standoff 365 — платформа для хакеров. Команда Standoff 365 приглашает вас найти уязвимости в платформе и получить денежное вознаграждение.

Standoff 365 - платформа для исследователей информационной безопасности, включающая в себя киберполигон, программы багбаунти и митап Talks.

Подать заявку на участие

Подать заявку на доклад