Прозоро
Прозоро - електронна система публічних закупівель, де державні та комунальні замовники оголошують тендери на закупівлю товарів, робіт і послуг, а представники бізнесу змагаються на торгах за можливість стати постачальником держави.
Сфера тестування (Scope)
Bug Bounty Prozorro — це безпечний простір для «білих» хакерів, де ви легально досліджуєте наші системи, допомагаєте знаходити вразливості та отримуєте винагороди. Ми надаємо окреме staging-середовище, усе відбувається виключно в правовому полі за умови дотримання правил програми.
У фокусі: веб-портали та пов’язані API. У продакшн втручатися заборонено.
- 2019 — вперше в Україні провели офлайн bug bounty-марафон (новина).
- 2020 — запустили безперервну online-програму.
- 2022 — призупинили online-програму через повномасштабне вторгнення.
- 2023 — відновили пошук вразливостей у staging-середовищі.
| № | Username | Critical | High | Medium | Low | Info | Points |
|---|---|---|---|---|---|---|---|
| 1 | Jarvis ( Twitter ) | 9 | 8 | 15 | 19 | 3 | 1906 |
| 2 | Saraychikov Sergey | 5 | 3 | 12 | 2 | 0 | 974 |
| 3 | Spachynskyi Vasyl (stopvvar) | 5 | 2 | 5 | 0 | 0 | 725 |
| 4 | Сhinskiy | 3 | 1 | 8 | 9 | 0 | 658 |
| 5 | SoloAdmiral | 3 | 2 | 7 | 3 | 0 | 611 |
| 6 | 0xj3st3r | 0 | 2 | 8 | 2 | 0 | 299 |
| 7 | KOMPOT | 1 | 1 | 2 | 8 | 0 | 296 |
| 8 | w2w | 1 | 2 | 0 | 0 | 0 | 200 |
| 9 | Taras | 1 | 1 | 1 | 0 | 0 | 175 |
| 10 | kazan71p ( Twitter ) | 1 | 0 | 2 | 0 | 0 | 175 |
| 11 | sh.root | 0 | 1 | 1 | 3 | 0 | 111 |
| 12 | Яноші Михайло | 1 | 0 | 0 | 0 | 0 | 100 |
| 13 | Raju Basak | 0 | 0 | 3 | 1 | 0 | 92 |
| 14 | CactusDiego | 0 | 1 | 0 | 0 | 0 | 50 |
| 15 | dante | 0 | 0 | 1 | 0 | 0 | 25 |
| 16 | Abdalla Waseem | 0 | 0 | 1 | 0 | 0 | 25 |
| 17 | Gaurav | 0 | 0 | 0 | 1 | 0 | 12 |
Станом на 16.04.2025 р. (з 17.09.2020 вразливості рівня P4 не винагороджуються, але за них нараховуються бали; P5 — не приймаються та не винагороджуються).
| Категорія | Приклади вразливостей* | Вартість, грн** | Бали | Бали (дублікат) |
|---|---|---|---|---|
| Critical (P1) | File Inclusion, RCE, SQLi, XXE, Authentication Bypass, Sensitive Data, Command Injection, Hardcoded Password… | 28 000 | 100 | 25 |
| High (P2) | XSS (P2 specific), SSRF, CSRF (Application-wide), App-level DoS (не DDoS), Weak Password Reset… | 14 000 | 50 | 12 |
| Medium (P3) | HTTP Response Manipulation, Content Spoofing, Session Fixation, XSS/SSRF (P3 specific)… | 8 400 | 25 | 5 |
| Low (P4) | Non-sensitive info disclosure, Open Redirect, Debug Info, HTML Injection in own email… | 0 | 12 | 2 |
| Info (P5) | Self-XSS, Insecure Transport, Missing headers, Spam, Reflected File Download (RFD)… | 0 | 0 | 0 |
* Категорії орієнтовані на Bugcrowd VRT і можуть змінюватися залежно від фактичного впливу (детальніше).
** Виплати проводяться з урахуванням податків і зборів за законодавством України (деталі в оферті).
Рекомендуємо використовувати шаблон звіту. Обов’язково додайте:
- Домен/ресурс з уразливістю;
- PoC-експлойти (за наявності);
- HTTP-запити, що демонструють уразливість;
- Скріншоти кроків відтворення;
- Суб’єктивну оцінку ризику та пояснення;
- Відеодемонстрацію (за можливості).
Надсилайте звіти на disclosure@prozorro.ua з темою: “ProzorroBB: Name Of Bug”. Один звіт = одна вразливість.
Дослідження поширюється лише на перелічені домени та IP у staging-середовищі.
| Host | IP | Additional Info |
|---|---|---|
| staging.prozorro.gov.ua | 195.178.150.103 | |
| auction-staging.prozorro.gov.ua | 195.178.157.50, 195.178.157.60 | |
| audit-api-staging.prozorro.gov.ua | 195.178.157.50, 195.178.157.60 | |
| public-api-staging.prozorro.gov.ua | 195.178.157.50, 195.178.157.60 | |
| public-docs-staging.prozorro.gov.ua | 195.178.157.50, 195.178.157.60 | |
| swift-staging.prozorro.gov.ua | 195.178.157.50, 195.178.157.60 | |
| sas-staging.prozorro.gov.ua | 195.178.150.103 | ключ та пароль: 123456 “Тестовий ЦСК АТ «ІІТ»” |
| amcu-staging.prozorro.gov.ua | 195.178.150.103 | ключ та пароль: 123456 “Тестовий ЦСК АТ «ІІТ»” |
| infobox.prozorro.org | 195.178.150.108, 195.178.150.106 | |
| risks-staging.prozorro.gov.ua | 195.178.150.82, 195.178.150.81 | |
| exam-staging.prozorro.gov.ua | 195.178.150.105 | ключ та пароль: 123456 “Тестовий ЦСК АТ «ІІТ»” |
| exam-back-staging.prozorro.gov.ua | 195.178.150.105 |
| Host | IP | Additional Info |
|---|---|---|
| zakupivli.today | 193.200.64.61 | |
| my.zakupivli.today | 193.200.64.61 |
| Host | IP | Additional Info |
|---|---|---|
test.smarttender.bizapi-test.smarttender.bizcontent-test.smarttender.bizsmartid-test.smarttender.biz |
91.200.74.11 |
| Host | IP | Additional Info |
|---|---|---|
| stage.e-tender.ua | 94.131.241.154 |
| Host | IP | Additional Info |
|---|---|---|
| bbt.uub.com.ua | 77.123.141.132 |
Усі інші ресурси, що не входять до «In Scope», поза межами програми. Будь-яке втручання у продакшн-системи підпадає під ст. 361 КК України.
| Host | Additional Info |
|---|---|
| *.prozorro.gov.ua | |
| *.prozorro.org | |
| *.prozorro.ua | |
| *.openprocurement.org | |
| *.s3.zakupivli.today | |
| *.e-tender.ua | |
| *gov.e-tender.ua | |
| *auction.e-tender.ua | |
| *biz.e-tender.ua | |
| *smarttender.biz | |
| *api.smarttender.biz | |
| *content.smarttender.biz | |
| *smartid.smarttender.biz | |
| *uub.com.ua |
- prozorro.gov.ua/openprocurement
- github.com/ProzorroUKR/openprocurement.api
- prozorro-api-docs.readthedocs.io
- /api/2.5/spore
Публічне API для доступу до відкритих даних неавторизованими користувачами.
Доступ до файлів, доданих до сутностей закупівель. Контролює доступ та читання зі сховища. Приклад.
Сховище на базі OpenStack Swift. Доступ через DS з тимчасовими посиланнями. Приклад.
Сервіс обслуговування учасників та спостерігачів аукціону.
Кабінет контролюючого органу для розгляду скарг.
Кабінет Державної аудиторської служби України.
Автоматичне виявлення підозрілих закупівель та передача на моніторинг ДАСУ.
API доступу до ризик-індикаторів.
- Не розкривати деталі вразливостей без згоди організаторів;
- Не здійснювати незаконні дії та не надсилати спам;
- Не поширювати неприйнятний контент;
- Не здійснювати шкідливу активність (віруси тощо);
- Не порушувати права та конфіденційність інших осіб;
- Не виконувати DDoS-атаки;
- Дотримуватися законодавства та Оферти.
- Отримати винагороду у встановленому порядку;
- На правовий захист за умови дотримання вимог;
- На відповідь і реагування на подані звіти;
- На інші права, передбачені Офертою.
Участь у програмі добровільна. Винагорода виплачується за підтверджені Адміністратором та майданчиками вразливості.
- Звіти від сканерів/автоматичних інструментів без валідного PoC;
- Best-practices без експлуатації; 0-day < 30 днів від публікації;
- Соціальна інженерія, фішинг, фізичні атаки, шахрайство;
- Публічні логіни без PoC; застарілі браузери/платформи;
- Більшість brute-force; DDoS (не плутати з app-logic DoS);
- Теоретичні уразливості; спам; відсутність security-headers;
- TLS/SSL/криптографія; DNS (MX/SPF/DKIM/DMARC тощо);
- Серверні конфігурації (open ports, TLS тощо);
- Session fixation (зміна пароля, logout), токени в URL;
- Enumeration користувачів/геолокації; clickjacking/tapjacking;
- Описові помилки без витоку шляхів; self-XSS без впливу;
- Login/Logout CSRF; CSRF у публічних формах; OPTIONS/TRACE;
- Host-header без робочого PoC; content spoofing без модифікації HTML/CSS;
- RFD; відсутність Secure/HttpOnly; Mixed Content; MitM/локальні атаки;
- Усі інші P4 та P5.