Електронна система публічних закупівель Prozorro оголошує Bug Bounty! 


Що таке Bug Bounty і навіщо це Prozorro 

Білий хакінг визнаний одним з найпопулярніших та найдієвіших способів віднайдення вразливостей в ІТ-системах. “Монстри” IT бізнесу вже давно та успішно використовують такі програми (Google, Facebook, Amazon тощо), що не притаманно державним структурам, особливо в Україні.
Нам не звикати до змін, тому 2019 року ми провели пілотний Bug Bounty на рівні центральної бази даних і стали одними з перших державних підприємств, які це зробили. 

У 2020 році ми вирішили запустити програму пошуку вразливостей Bug Bounty на постійній основі для всієї ІТ-системи. Дана програма допоможе системі Prozorro зробити захист даних міцнішим та стати ще стійкішою до кібератак.


Все відбувається в правовому полі, адже баг хантерам доступне pre-production environment (те саме тестове середовище): учасникам буде доступна копія центральної бази даних, офіційний портал, кабінет Антимонопольного комітету України, кабінет Державної аудиторської служби, майданчики, що залучені до програми Bug Bounty. Ми також гарантуємо правову безпеку усім учасникам за умови дотримання правил участі та необмежену кількість часу на дослідження.


Ти – «етичний хакер», ми – державна ІТ-система, ти маєш мрію її зламати, ми готові дати тобі можливість її втілити!


Рейтинг учасників

Nick

P1

P2

P3

P4

P5

Бали

 1

Jarvis (Cyber Unit Co.)
https://twitter.com/jarvis7717

9

8

15

18

3

1906

2

Taras

1

1

1



175

 3

Qiecez

1

1




150

4

kazan71p
https://twitter.com/kazan71p

1


1



125

5

CactusDiego


1




50


станом на 7 вересня 2020 року (з 17.09.2020р. вразливості рівня Р4 та Р5 не приймаються та не винагороджуються)


Правила нарахування балів

Категорія
Бали за перший репорт
Бали за дублікат
Р1
100
25
Р2
50
12
Р3
25
5


Дослідження вразливостей поширюється виключно на такі домени з вказаними IP адресами

Система Prozorro 

домени in scope

  • staging.prozorro.gov.ua 195.178.150.103
  • auction-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • auth-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • audit-api-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • public-api-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • public-docs-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • swift-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
  • sas-cabinet-staging.prozorro.gov.ua 195.178.150.103
  • amcu-new-staging.prozorro.gov.ua 195.178.150.103
  • jira.prozorro.org 195.230.148.70
  • infobox.prozorro.org 195.178.150.106
  • jenkins-broker.prozorro.ua 195.178.150.106


НЕ ДОЗВОЛЯЄТЬСЯ сканування та пошук вразливостей, та не приймаються вразливості (out of scope) на наступних доменах:

  • всі інші домени *.prozorro.gov.ua
  • всі інші домени *.prozorro.org
  • всі інші домени *.prozorro.ua
  • *.openprocurement.org


Майданчики

домени in scope

  • zakupki.today 91.195.214.64
  • my.zakupki.today 91.195.214.64
  • zktoday-cabinet1.c.prom.st 193.34.169.9
  • zktoday.c.prom.st 193.34.169.9
  • test.smarttender.biz  91.200.74.11
  • stage.e-tender.ua 94.131.241.70


НЕ ДОЗВОЛЯЄТЬСЯ сканування та пошук вразливостей, та не приймаються вразливості (out of scope) на наступних доменах:

  • всі інші домени *.e-tender.ua
  • всі домени *e-tender.biz
  • всі інші домени *.smarttender.biz


ДОКУМЕНТАЦІЯ на Електронну систему публічних закупівель

Модулі системи

Public API

Публічне API для вичитки даних, для доступу до публічної інформації неавторизованими користувачами. Відображає інформацію з БД публічного API. Відображається тільки та інформація, що дозволена для публікації відповідно до законодавства.



Public DS

Сервіс доступу до файлів, доданих до повідомлень про закупівлю/пропозиції/скарги. Контролює доступ до файлів та виконує читання файлів із сховища.


Завантажити

https://public-docs-staging.prozorro.gov.ua/get/ef269650298d4da3ac9bce8b3b16480b?KeyID=01b985cf&Signature=IZ1dUbji4a3vAqO18he9zQRrXMsu8fox2Hwz0GKt53Odi5jEeX2Bu4xf%252B0h819%252B78ao9xyTpIKbSS%252BOCUmbXBA%253D%253D


Swift

Сховище файлів побудоване на базі openstack swift. Доступ відбувається через модуль DS. Під час завантаження документів запит спочатку перенаправляється на public ds по статичному посиланню, а потім генерується тимчасове посилання на swift для завантаження документів.
Завантажити

https://public-docs-staging.prozorro.gov.ua/get/ef269650298d4da3ac9bce8b3b16480b?KeyID=01b985cf&Signature=IZ1dUbji4a3vAqO18he9zQRrXMsu8fox2Hwz0GKt53Odi5jEeX2Bu4xf%252B0h819%252B78ao9xyTpIKbSS%252BOCUmbXBA%253D%253D


Auction

Сервіс призначений для обслуговування учасників і відвідувачів аукціону. Показує сторінку учасника, отримує поточний стан аукціона від сервера з БД аукціонів. Учасник отримує в кабінеті закрите посилання для участі в аукціоні, яке знаходиться в базі даних і доступне тільки цьому учаснику. Спостерігачі заходять за загальнодоступним посиланням і можуть тільки спостерігати за ходом аукціону.

http://auction-staging.prozorro.gov.ua/


Кабінет АМКУ

Кабінет контролюючого органу. При проведенні закупівель будь-який з користувачів, хто  зареєстрований на майданчику, має можливість подати Скаргу. Скарги передаються до офіційного органу оскарження – Антимонопольного Комітету України, співробітники якого розглядають її у своєму кабінеті.


Кабінет ДАСУ

Кабінет ДАСУ (Державна аудиторська служба України).


Audit API

API для доступу до ризик-індикаторів.


Auth


Умови та правила участi в програмi Bug Bounty


Участь у програмі Bug Bounty є добровільною. Хантер отримує грошову винагороду за вразливості, підтверджені Адміністратором електронної системи та Майданчиками, які є частиною електронної системи закупівель та беруть участь у програмі Bug Bounty. 

Винагорода Учаснику встановлюється відповідно до рівня складності (критичності) виявленої в роботі Електронної системи закупівель вразливості.


Категорія вразливості згідно з Bugcrowd’s Vulnerability Rating Taxonomy

Категорія
Вразливості для відповідної категорії

Вартість винагороди

P1
File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password
2800 грн

P2
XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation
1400 грн

P3
HTTP Response Manipulation, Content Spoofing, Session Fixation, XSS and SSRF (P3 specific)
840 грн


Не приймаються наступні вразливості: 

  • Vulnerability scanners and another automated tools reports
  • Best practices concerns
  • Recently (less than 30 days) disclosed 0day vulnerabilities
  • Vulnerabilities affecting users of outdated browsers or platforms
  • Social engineering, phishing, physical, or other fraud activities
  • Publicly accessible login panels without proof of exploitation 
  • Reports that state that software is out of date/vulnerable without a proof of concept
  • Vulnerabilities involving active content such as web browser add-ons
  • Most brute-forcing issues
  • Distributed Denial of Service (not Application logic DoS)
  • Theoretical issues
  • Spam (SMS, emails, etc.)
  • Missing HTTP security headers
  • Certificates/TLS/SSL and Broken Cryptography related issues
  • DNS issues (i.e. MX records, SPF records, DCIM records, DMARC records, etc.)
  • Server configuration issues (i.e., open ports, TLS, etc.)
  • Open redirects
  • Session fixation (change password, logout)
  • Sensitive Token in URL
  • User account enumeration and Geolocation Data issues
  • Clickjacking/Tapjacking and issues only exploitable through clickjacking/tap jacking
  • Descriptive error messages (not full path file disclosure)
  • Self-XSS that cannot be used to exploit other users
  • Login & Logout CSRF
  • CSRF in forms that are available to anonymous users (e.g. the contact form)
  • OPTIONS/TRACE HTTP method enabled
  • Host header issues without proof-of-concept demonstrating the vulnerability
  • Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
  • Content Spoofing (not spoofing HTML\CSS)
  • Reflected File Download (RFD)
  • Missing Secure or HTTPOnly Cookie Flag
  • Mixed Content
  • MitM and local attacks
  • All other P4 and P5 severity

Права та обов’язки

Учасник зобов'язується:

  • не розкривати інформацію про вразливість без згоди Організаторів;
  • не робити нічого незаконного та не надсилати спам;
  • не ділітися невідповідним вмістом чи матеріалами (пов’язаними, наприклад, зі злочинною діяльністю тощо) та не займатися шкідливою діяльністю (наприклад, передача вірусів);
  • не посягати на права інших осіб і не займатися діяльністю, яка порушує конфіденційність інших осіб;
  • не здійснювати розподілені атаки відмови в обслуговуванні (DDoS), а також використовувати системи автоматичного тестування, які генерують масивні об’єми мережевого трафіку;
  • дотримуватись вимог законодавства та Оферти.


Учасник має право:

  • отримувати винагороду в передбаченому порядку;
  • на правовий захист щодо участі у Програмі за умови дотримання вимог;
  • на відповідь та реагування Організатора у відповідь на звіт(и);
  • інші права, передбачені Офертою.

Як повідомити про вразливість

Звіти про виявлені вразливості приймаються на електронну адресу disclosure@prozorro.ua з темою листа: EPS Bug Bounty Program


Вимоги до звіту

Звіт може бути оформлений у довільній форм, містити назву і детальний опис вразливості та опис кроків з її відтворення та будь-яку додаткову інформацію, наприклад

  • класифікація вразливості згідно з BugCrowd Vulnerability Rating Taxonomy;
  • суб’єктивна оцінка рівня ризику вразливості;
  • демонстрація вразливості;
  • HTTP-сесії, що демонструють вразливість;
  • знімки екрану, що демонструють вразливість;
  • пояснення щодо рівня ризику;
  • відеодемонстрацію відтворення вразливості.

Питання, відповіді та контакти

Якщо ви у пошуку відповіді на питання стосовно Electronic Procurement System Bug Bounty Program або у вас є що нам запропонувати, напишіть нам на електронну адресу bugbounty@prozorro.ua і ми найближчим часом надамо вам відповідь та/або зв’яжемось з вами зручним для вас способом.

Юридичні документи

Посилання на текст оферти: тут