Bug Bounty & Prozorro 

Білий хакінг визнаний одним з найпопулярніших та найдієвіших способів віднайдення вразливостей в ІТ-системах. “Монстри” IT бізнесу (Google, Facebook, Amazon, тощо) вже давно та успішно використовують bug bounty програми, що не притаманні державним структурам, особливо в Україні. Ми стали одними з перших державних підприємств, які реалізували таку bug bounty в Україні.

Наша історія:

  • У 2019 році ми провели offline bug bounty. 
  • У 2020 році ми запустили online bug bounty на постійній основі. 
  • З початком повномасштабного вторгнення нам довелося призупинити online bug bounty. 
  • У 2023 ми відновлюємо пошук вразливостей.

Все відбувається у правовому полі, адже баг хантерам доступний staging area. Учасникам доступна копія центральної бази даних, копія офіційного порталу, копія кабінету Антимонопольного комітету України, копія кабінету Державної аудиторської служби, копії майданчиків, що теж залучені до програми пошуку вразливостей. Ми також гарантуємо правову безпеку усім учасникам за умови дотримання правил участі та необмежену кількість часу на дослідження.


Рейтинг учасників


Username


Critical


High


Medium


Low


Info


Points


1

Jarvis ( Twitter )

9

8

15

19

3

1906

2

Сhinskiy

3
1
8
9
0
658

3

Saraychikov Sergey

3

1

10

2

0

584

4 stopvvar
2 2


400
5
0xj3st3r
0
2
8 2
0
299

6

KOMPOT

1

1

2

8

0

296

7

w2w

1

2

0

0

0

200

8

Taras

1

1

1

0

0

175

9

kazan71p ( Twitter )

1

0

2

0

0

175

10
sh.root

0

1
1
3
0
111

11

CactusDiego

0

1

0

0

0

50

12 dante


1

25

13

Gaurav

0

0

0

1

0

12

Cтаном на 31.12.2023 р. (з 17.09.2020р. вразливості рівня Р4 не винагороджуються, але по них нараховуються бали, вразливості рівня Р5 не приймаються та не винагороджуються)


Винагороди

Категорія


Приклади вразливостей*


Вартість**, грн


Балли


Балли (дублікат)


Critical (P1)

File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password, ...

28 000

100

25

High (P2)

XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation, ...

14 000

50

12

Medium (P3)

HTTP Response Manipulation, Content Spoofing, Session Fixation, XSS and SSRF (P3 specific), ...

8 400

25

5

Low (P4)

Not sensitive Information disclosure, Open Redirect, Debug Info, HTML Injection in own email, ...

0

12

2

Info (P5)

Cross-Site Scripting (Self), Insecure Data Transport, Secure headers, Spam, Reflected File Download (RFD), ...

0

0

0

* Вказані категорії є рекомендованими відповідно Bugcrowd Rating Taxonomy та можуть змінюватись залежно від рівня наслідків її практичного, а не потенційного використання (детальніше).

**Виплати проводяться з урахуванням податків і зборів відповідно до вимог податкового законодавства України (з фізичної особи від суми винагороди: єдиний соціальний внесок - 22%, військовий збір - 1,5%, податок на дохід фізичних осіб - 18%. Якщо хантер зареєстрований як фізична особа-підприємець (платник єдиного податку) сплачує самостійно: єдиний соціальний внесок - 22% від мінімальної заробітної плати раз на місяць; єдиний податок - 5%, якщо неплатник ПДВ).


Порядок звітування

Для формування звіту рекомендується використовувати шаблон. У звіт обов'язково додавати:

  • Домен\ресурс, в якому знайдено вразливість;
  • PoC експлоіти, якщо такі використовувались;
  • HTTP-запити, що демонструють вразливість;
  • Скріншоти з етапами виконання вразливості;
  • Суб’єктивну оцінку рівня ризику вразливості;
  • Пояснення щодо рівня ризику;
  • Відеодемонстрацію відтворення вразливості.

Звіти про виявлені вразливості приймаються на електронну адресу disclosure@prozorro.ua з темою листа: "ProzorroBB: Name Of Bug". Кожен звіт має містити опис однієї вразливості. На кожну наступну знайдену вразливість складається та надсилається окремий звіт окремим електронним листом.


Oбласть тестування (In Scope)

Дослідження вразливостей поширюється виключно на вказані домени з вказаними IP адресами. Дані ресурси це staging area, копії існуючих робочих систем. Дозволено тестувати тільки ті ресурси, які було скопійовано з вже працюючих робочих систем.

Prozorro Platform

Host


IP


Additional Info


staging.prozorro.gov.ua

195.178.150.103


auction-staging.prozorro.gov.ua

195.178.157.50, 195.178.157.60


audit-api-staging.prozorro.gov.ua

195.178.157.50, 195.178.157.60


public-api-staging.prozorro.gov.ua

195.178.157.50, 195.178.157.60


public-docs-staging.prozorro.gov.ua

195.178.157.50, 195.178.157.60


swift-staging.prozorro.gov.ua

195.178.157.50, 195.178.157.60


sas-staging.prozorro.gov.ua

195.178.150.103

ключ та пароль: 123456 "Тестовий ЦСК АТ "ІІТ"


amcu-staging.prozorro.gov.ua

195.178.150.103

ключ та пароль: 123456 "Тестовий ЦСК АТ "ІІТ"

infobox.prozorro.org

195.178.150.108, 195.178.150.106


risks-staging.prozorro.gov.ua

195.178.150.82 195.178.150.81


exam-staging.prozorro.gov.ua

195.178.150.105

ключ та пароль: 123456 "Тестовий ЦСК АТ "ІІТ"

exam-back-staging.prozorro.gov.ua

195.178.150.105


Майданчик: Zakupki Prom UA

Host


IP


Additional Info


zakupki.today

91.195.214.64


my.zakupki.today

91.195.214.64


zktoday-cabinet1.c.prom.st

193.34.169.9


zktoday-cabinet1.c.prom.st

193.34.169.9


zktoday.c.prom.st

193.34.169.9



Майданчик: Smart Tender

Host


IP


Additional Info


З 15.11.2023 призупинено участь в проекті




Майданчик: E-tender

Host


IP


Additional Info


stage.e-tender.ua

94.131.241.154




Тестувати заборонено

Тестувати всі інші ресурси Prozorro Platform та майданчиків, що не входять в "In scope" - заборонено. Втручання в роботу ІТС (продакш серверів) це стаття 361 кримінального кодексу: Несанкціоноване втручання в роботу інформаційно-технічної системи.

Host


Additional Info


*.prozorro.gov.ua


*.prozorro.org


*.prozorro.ua


*.openprocurement.org


*.zakupki.prom.ua


*.e-tender.ua


*gov.e-tender.ua


*auction.e-tender.ua


*biz.e-tender.ua




Документація на Prozorro Platform

API Docs

Модуль системи: Public API

Публічне API для вичитки даних, для доступу до публічної інформації неавторизованими користувачами. Відображає інформацію з БД публічного API. Відображається тільки та інформація, що дозволена для публікації відповідно до законодавства.

Модуль системи: Public DS

Сервіс доступу до файлів, доданих до повідомлень про закупівлю/пропозиції/скарги. Контролює доступ до файлів та виконує читання файлів із сховища. Приклад завантаженого документа.

Модуль системи: Swift

Сховище файлів побудоване на базі openstack swift. Доступ відбувається через модуль DS. Під час завантаження документів запит спочатку перенаправляється на public ds по статичному посиланню, а потім генерується тимчасове посилання на swift для завантаження документів. Приклад завантаженого документа.

Модуль системи: Auction

Сервіс призначений для обслуговування учасників і відвідувачів аукціону. Показує сторінку учасника, отримує поточний стан аукціона від сервера з БД аукціонів. Учасник отримує в кабінеті закрите посилання для участі в аукціоні, яке знаходиться в базі даних і доступне тільки цьому учаснику. Спостерігачі заходять за загальнодоступним посиланням і можуть тільки спостерігати за ходом аукціону.

Модуль системи: Кабінет АМКУ

Кабінет контролюючого органу. При проведенні закупівель будь-який з користувачів, хто  зареєстрований на майданчику, має можливість подати Скаргу. Скарги передаються до офіційного органу оскарження – Антимонопольного Комітету України, співробітники якого розглядають її у своєму кабінеті.

Модуль системи: Кабінет ДАСУ

Кабінет ДАСУ (Державна аудиторська служба України).

Модуль системи: Ризик-індикатори

В Prozorro працює система, яка автоматично шукає підозрілі закупівлі та відправляє їх на моніторинг Державній аудиторській службі України (далі - Держаудитслужба). Це дозволяє аудиторам виявляти недобросовісних державних Замовників на ранніх стадіях закупівлі та боротись із тендерними правопорушеннями на основі даних від ризик-індикаторів Держаудитслужба України приймає рішення про проведення моніторингу

Модуль системи: Audit API

API для доступу до ризик-індикаторів:


Умови, права та обов’язки

Учасник зобов'язується:

  • Не розкривати інформацію про вразливість без згоди Організаторів;
  • Не робити нічого незаконного та не надсилати спам;
  • Не ділитися невідповідним вмістом чи матеріалами (пов’язаними, наприклад, зі злочинною діяльністю тощо)
  • Не займатися шкідливою діяльністю (наприклад, передача вірусів);
  • Не посягати на права інших осіб і не займатися діяльністю, яка порушує конфіденційність інших осіб;
  • Не здійснювати розподілені атаки відмови в обслуговуванні (DDoS);
  • Дотримуватись вимог законодавства та Оферти;

Учасник має право:

  • Отримувати винагороду в передбаченому порядку;
  • На правовий захист щодо участі у Програмі за умови дотримання вимог;
  • На відповідь та реагування Організатора у відповідь на звіт(и);
  • На інші права, передбачені Офертою.

Участь у програмі Bug Bounty є добровільною. Хантер отримує грошову винагороду за вразливості, підтверджені Адміністратором електронної системи та Майданчиками, які є частиною електронної системи закупівель та беруть участь у програмі Bug Bounty.

Не приймаються наступні вразливості: 

  • Vulnerability scanners and another automated tools reports
  • Best practices concerns
  • Recently (less than 30 days) disclosed 0day vulnerabilities
  • Vulnerabilities affecting users of outdated browsers or platforms
  • Social engineering, phishing, physical, or other fraud activities
  • Publicly accessible login panels without proof of exploitation 
  • Reports that state that software is out of date/vulnerable without a proof of concept
  • Vulnerabilities involving active content such as web browser add-ons
  • Most brute-forcing issues
  • Distributed Denial of Service (not Application logic DoS)
  • Theoretical issues
  • Spam (SMS, emails, etc.)
  • Missing HTTP security headers
  • Certificates/TLS/SSL and Broken Cryptography related issues
  • DNS issues (i.e. MX records, SPF records, DKIM records, DMARC records, etc.)
  • Server configuration issues (i.e., open ports, TLS, etc.)
  • Session fixation (change password, logout)
  • Sensitive Token in URL
  • User account enumeration and Geolocation Data issues
  • Clickjacking/Tapjacking and issues only exploitable through clickjacking/tap jacking
  • Descriptive error messages (not full path file disclosure)
  • Self-XSS that cannot be used to exploit other users
  • Login & Logout CSRF
  • CSRF in forms that are available to anonymous users (e.g. the contact form)
  • OPTIONS/TRACE HTTP method enabled
  • Host header issues without proof-of-concept demonstrating the vulnerability
  • Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
  • Content Spoofing (not spoofing HTML\CSS)
  • Reflected File Download (RFD)
  • Missing Secure or HTTPOnly Cookie Flag
  • Mixed Content
  • MitM and local attacks
  • All other P4 and P5 severity

Питання, відповіді та контакти

Якщо ви у пошуку відповіді на питання стосовно Electronic Procurement System Bug Bounty Program або у вас є що нам запропонувати, напишіть нам на електронну адресу bugbounty@prozorro.ua і ми найближчим часом надамо вам відповідь та/або зв’яжемось з вами зручним для вас способом.

Юридичні документи:

  • Посилання на текст оферти тут
  • Попередні редакції оферт тут