小红书推广的优势,潍坊网站建设优化,网站服务器报价,福田住房和建设局官网网络安全大赛 网络安全大赛的类型有很多#xff0c;比赛类型也参差不齐#xff0c;这里以国内的CTF网络安全大赛里面著名的的XCTF和强国杯来介绍#xff0c;国外的话用DenCon CTF和Pwn2Own来举例 CTF CTF起源于1996年DEFCON全球黑客大会#xff0c;以代替之前黑客们通过互相… 网络安全大赛 网络安全大赛的类型有很多比赛类型也参差不齐这里以国内的CTF网络安全大赛里面著名的的XCTF和强国杯来介绍国外的话用DenCon CTF和Pwn2Own来举例 CTF CTF起源于1996年DEFCON全球黑客大会以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今 现代CTF竞赛 现在的CTF比赛一般由专业队伍承担比赛平台、命题、赛事组织以及拥有自动化积分系统。参赛队伍需提交参赛申请并且由DEF CON会议组织者们进行评选。比赛侧重于对计算机底层和系统安全的核心能力。 CTF的比赛赛制 解题模式Jeopardy 在解题模式的CTF赛制中参赛队伍可以通过互联网或者现场网络参与这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似以解决网络安全技术挑战题目的分值和时间来排名通常用于在线选拔赛。 攻防模式Attack-Defense 在攻防模式CTF赛制中参赛队伍在网络空间互相进行攻击和防守挖掘网络服务漏洞并攻击对手服务来得分修补自身服务漏洞进行防御来避免丢分。此模式CTF赛制是一种竞争激烈具有很强观赏性和高度透明性的网络安全赛制。 混合模式Mix 结合了解题模式和攻防模式的CTF赛制比如参赛队伍通过解题可以获取一些初始分数然后通过攻防对抗进行得分增减的零和游戏最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。 赛程规划 准备阶段 参赛者通常需要学习相关的网络安全知识如密码学、网络安全基础、编程技能等。 预赛/资格赛 在大型比赛中可能需要通过预赛来挑选进入决赛的队伍。 决赛 决赛通常在特定的时间和地点进行竞赛时间可能从几个小时到几天不等。 得分和评估 根据解决的挑战和攻防表现进行得分。 颁奖和总结 赛事结束后进行颁奖并对参赛者的表现进行总结和评价。 CTF比赛规则 1. 比赛形式 Jeopardy Style参赛者需要解答一系列安全问题涵盖不同的类别如密码学、逆向工程、Web安全等。 Attack-Defense Style每个团队既要保护自己的服务器同时还要攻击其他团队的服务器。 2. 团队组成 参赛者可以单独参赛或组成团队参赛团队人数通常有上限。 3. 比赛时间 CTF比赛通常有明确的开始和结束时间持续时间可能从几小时到几天不等。 4. 得分规则 在Jeopardy模式中解决每个挑战会获得一定的分数通常难度越大分数越高。 在Attack-Defense模式中攻击对手的成功和防御自己的成功都会获得分数。 5. 挑战类型 挑战可能包括但不限于密码破解、逆向工程、网络安全、程序漏洞利用、Web安全等。 6. 提交答案 参赛者需要在规定时间内通过比赛平台提交答案或Flag 7. 禁止行为 禁止攻击比赛平台或其他非比赛目标的网络和服务。 禁止与其他团队合谋或共享答案。 禁止使用自动化工具对挑战进行爆破尝试。 8. 安全和合法性 参赛者必须遵守当地的法律法规确保所有活动在合法范围内。 保持网络和信息安全不得利用比赛进行非法活动。 9. 赛事组织 比赛组织者负责设定规则、准备挑战、记录得分和解决比赛期间的问题。 国内的CTF赛事 1CTF赛事的代表性线下赛事 国际上这类的顶级赛事当属DEFCON。国内最优秀的战队会参加。现在国内蓝莲花、0ops战队都会在互联网公司的支持下组织联合战队参战。 【XCTF】国内最早的CTF大赛是蓝莲花战队在百度支持下组织的BCTF后来南京赛宁公司将其发展为现在国内最大的CTF联赛——XCTF。其代表人物就是核心组织者诸葛建伟。 【WCTF】现在国内市值最大的网络安全公司奇虎360主办。在赛事规模、邀请的国际战队水平都非常不错。这个赛事和360操办的中国互联网安全大会ISW一样出手不凡。背后的平台技术支持有永信至诚的身影。 【TCTF】腾讯安全联合实验室的七大实验室领衔联合上海交大0ops战队组织了这个有特色的CTF赛事。2017年举办的第一届。分为主赛和高校赛。赛事邀请了国际著名战队参加而且冠军有DEFCON外卡。在举办CTF比赛上腾讯虽然比360晚就像腾讯举办CSS领袖峰会比360的ISW晚但是腾讯的出手从来都是大手笔比赛也能一举成为国内三大顶级商业CTF赛事之一。 XCTF XCTF联赛全称XCTF国际网络攻防联赛CTF(Capture The Flag)一般译为夺旗赛在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。XCTF联赛是由清华大学蓝莲花战队发起组织网络空间安全人才基金和国家创新与发展战略研究会联合主办赛宁网安总体承办由高校、科研院所、安全企业、社会团体等共同组织由业界知名企业赞助与支持面向高校及科研院所学生、企业技术人员、网络安全技术爱好者等群体旨在发现和培养网络安全技术人才的竞赛活动。 第三届XCTF联赛总决赛 XCTF联赛宗旨通过竞赛公开选拔奖励具有全面且深入网络安全技术对抗实践能力的参赛团队并引导高校及科研院所学生、企业技术人员和网络安全技术爱好者在竞赛过程中锻炼实际网络安全对抗技能与团队协作能力提升我国网络安全技术人才水平进而增强我国网络空间安全防御能力。 XCTF联赛原则公开、公平、公正。 第三届XCTF联赛总决赛 XCTF联赛基本方式XCTF联赛由选拔阶段和总决赛阶段两部分组成。选拔阶段通过多个由高校及科研院所技术团队承办的分站赛遴选出技术能力水平较高的参赛队伍进入到总决赛阶段。总决赛阶段设置总决赛与夏令营活动入围总决赛的参赛队伍通过竞赛角逐出冠、亚、季军和优胜奖并获得奖励由总决赛选拔出表现优异的队伍和个人进入夏令营活动进行提高训练并鼓励参加知名国际赛事。 联赛规则 在线解题模式选拔赛 1、赛制形式 通过互联网远程参与的在线解题模式CTF赛制建议4-8人规模团队组队参赛 2、赛题类别 覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等网络安全各项技术各站选拔赛根据组织技术团队情况各具特色风格 3、成绩和排名评定 解题过程需通过离线分析或在线交互克服技术挑战后获取Flag提交验证正确后给予相应分数。组织方可对最早解出题目的团队设置奖励分值但不应超过题目分值的10%。在线解题模式选拔赛以团队得分总和排出名次根据解题时最后有效提交时间来综合区分得分总和相同团队的排名次序。 选拔赛线下决赛 1、赛制形式 在承办方现场参与的线下解题或攻防CTF赛制不超过四人的团队组队参赛 2、赛题类别 涉及技术挑战包括但不限于Web渗透和防护、二进制服务漏洞挖掘利用与修补、系统防护、攻击分析等具体形式多支战队渗透同一靶标环境解题和/或多支战队之间互相攻防各站选拔赛根据组织技术团队情况各具特色风格。 3、成绩和排名评定 根据比赛队伍的攻防操作结果进行分数计算以参赛队伍的得分高低进行排名并确定优胜队伍。 总决赛 1、赛制形式 在承办方现场参与的线下攻防CTF赛制不超过四人的团队组队参赛 2、赛题类别 技术挑战范围同选拔赛线下决赛类别具体形式多支战队之间互相攻防 3、成绩和排名评定 同选拔赛线下决赛成绩和排名评定规则。 参赛方式 XCTF联赛采取开放式的报名凡在各站选拔赛前注册并通过审核的所有自然人及自然人群体都可参赛没有其他任何限制。报名方式也很便捷通过XCTF竞赛主站注册新用户并发起战队然后邀请小伙伴们注册新用户加入战队就可以开启你的XCTF联赛之旅了在选拔赛开赛前战队和选手信息将被同步至选拔赛网站进行竞赛。参与各站选拔赛努力通过选拔赛夺冠或联赛积分累积前列入围总决赛。 站点 XCTF-TIME是XCTF联赛的竞赛主站包含每场分站选拔赛的赛况成绩发布联赛积分排行榜人才对接等栏目。具有求职意向的XCTF联赛参赛选手可以在线提交竞赛解题报告、个人简历、求职意向具有招聘需求的赞助商可以获取参赛选手的简历、XCTF联赛解题详细记录与解题报告分析。 XCTF-OJ在线实训是XCTF联赛提供的Online-Judge在线实训平台。 [17-21] 23年举行了第七届XCTFXCTF国际网络攻防联赛总决赛 赛制焕新KOH巅峰对决开启冠军争夺激烈加倍 在延续前六届大赛传统、保证赛事高质量举办的基础上本届大赛采用混合赛制并进行赛制更新。 本次竞赛共涉及两种网络安全赛制首日解题赛以竞速解决网络安全高难度挑战题目为主贰日竞赛根据首日的晋级结果采用KOH巅峰对决全新赛制。 在KOH巅峰对决中晋级战队两两一组每轮对决分值翻倍前期积累优势也许瞬间被反超落后队伍随时可能反败为胜。赛势走向难以预测冠军之战更加惊心动魄大大提升了赛事竞技沉浸感与刺激性。 黑客战争CTFer的电子竞技Dota x CTF重磅上线 本届大赛除了KOH巅峰对决采取1V1的电子竞技对决形式外还特别结合多人在线竞技游戏Dota2将CTF与游戏场景相融合以参赛选手提交的AI智能进行博弈攻防将给参赛选手全新的竞赛体验。未成功晋级巅峰对决的参赛队伍均可参与黑客战争游戏共同体验一场专属于CTFer的电子竞技。 2CTF初赛AWD决赛的经典赛 现在常见的赛制都采用了线上初赛线下决赛的赛制组成。线上初赛常常用解题赛模式和少量线上实践操作赛线下决赛采用AWD的攻防结合赛。 AWD (Attack With Defense攻防兼备)模式 你需要在一场比赛里要扮演攻击方和防守方攻者得分失守者会被扣分。也就是说攻击别人的靶机可以获取 Flag 分数时别人会被扣分同时你也要保护自己的主机不被别人得分以防扣分。没接触过的同学第一次玩这种模式时很可能都是一脸懵逼最近我也打了一次由 玄魂 组织的、比较简单的小型 AWD借 NeverSec 公众号来介绍一下一般的 AWD 比赛流程和所需准备的地方。由于我负责 Web 比较多因此这篇文章不会涉及到二进制方面主要从 Web 方向介绍。 AWD流程 1. 出题方会给每一支队伍部署同样环境的主机主机有一台或者多台。 2. 拿到机器后每个队伍会有一定的加固时间或没有加固时间这个视规则而定。 3. 每个服务、数据库、主机上都会可能存在 flag 字段并且会定时刷新。通过攻击拿到 flag 后需要提交到裁判机进行得分一般会提供指定的提交接口。下一轮刷新后如果还存在该漏洞可以继续利用漏洞获取 flag 进行得分。 通常来说如果攻防赛时间比较短的话一般只会考核 Web 、数据库的渗透、已有漏洞的利用如果时间较长很可能还需要做内网渗透 一般一个队伍由三人组成。负责两个方面一方面负责防守加固、做基线、加WAF、流量回放等等。一方面负责源码审计、写攻击脚本、维持权限、持续渗透具体怎么安排都视三人能力而定。 具体经典赛事 【强网杯】这是由信息工程大学举办的全国性赛事。虽然是一个大学举办但是因为其背后的行业背景和学校特色水平决定了这个比赛的高水平。 【X-NUCA】这是有中科院信工所举办的全国性赛事。信工所是聚集了中科院体系几乎所有安全精英的超级研究体其支持的赛事自然也决定了其水平。 强国杯 第二届强国杯网络安全挑战赛决赛现场 第七届强国杯技术技能大赛决赛 竞赛形式 比赛内容主要围绕网络安全和系统安全中的现实问题进行设计主要关注以下重点难点问题①二进制程序逆向分析和漏洞挖掘利用②Web漏洞挖掘和利用③密码分析④智能终端安全⑤流量分析⑥电子取证⑦信息隐藏⑧物联网安全⑨云安全⑩网络空间动态防御以及其他相关领域。竞赛分为线上赛、线下赛、精英赛三个阶段。 比赛进程 线上赛线上赛将通过i春秋CTF竞赛平台展开采取线上CTF答题模式面向高等院校和国内信息安全企业每队不超过10人重点考察参赛人员网络安全领域学科知识的综合运用能力和网络攻防基本技能的掌握水平。 线下赛从线上赛战队中选取24支进入线下赛采取与国际接轨的攻防对抗模式通过e春秋线下AWD竞赛平台展开。每支战队不超过4人综合评估参赛人员对预置漏洞快速挖掘、利用和防护能力角逐出一等奖冠亚季军二等奖和三等奖。比赛时间2018年4月14日-15日 三精英赛采取攻坚解题模式面向线上、线下比赛成绩优秀的战队并定向邀请部分国内安全企业精英团队设置若干困难攻防环境以参赛队提交解题报告的方式进行。 比赛时间2018年4月底具体时间待定 评审规则 一线上赛参赛队用注册成功的账号登陆i春秋竞赛系统进行答题每道赛题均内置1个flag设置一定的分值参赛队解题后得到flag即能获得相应的分数。排名前36的队伍比赛结束后24小时内各参赛队需提交每道赛题详细的解题报告Writeup经组委会审核后在48小时内确定各参赛队最终得分和排名。未提交完整解题报告或发现作弊行为的取消比赛成绩。公布最终排名后各参赛队需出具参加线下赛人员的同单位证明才可参加线下赛。 二线下赛参赛队在主办方搭建的封闭网络环境下进行攻防对抗。每支参赛队均维护一个运行指定服务的Gamebox竞赛方在每队的Gamebox上会设置若干flag每个服务一个参赛队需保证服务的正常运行。选手通过分析服务发现、利用和修复漏洞成功利用漏洞拿到对手Gamebox中的flag即可得分本队Gamebox中的flag被其他参赛队获取既扣除相应分值。竞赛方每隔一段时间更新一次flag单个flag的分值由所有获取它的参赛队均分。 精英赛主办方将网络安全领域重要课题、现实问题、技术难题转化为竞赛题目参赛队在规定时间内完成相应任务即可获得奖金。累积奖金额度最高的团队获得年度优秀团队称号。 奖项设置 为激发各参赛方的积极性赛事共设置奖金500万对优胜团队给予鼓励和资助。 线上赛一等奖第1-3名每队奖金3万元二等奖第4-12名每队奖金1万元三等奖第13-24名每队奖金5千元优胜奖第25-40名每队奖金1千元 线下赛一等奖第1-3名冠军奖金15万元、亚军奖金8万元、季军奖金5万元二等奖第4-8名每队奖金2万元三等奖第9-24名每队奖金1万元 精英赛精英赛奖金将根据题目设置来确定奖金每道赛题奖金为20万元-50万元。一道赛题如有多支战队完成奖金由完成赛题的战队平均分配。虽未完成解题过程但能提供确有价值的解题思路和办法由专家评委会视情给予奖励。精英赛将根据团队的累积奖金额度评选出一个年度优秀团队称号。 DEFCON CTF DEFCON CTF是CTF界最知名影响最广的比赛历史也相当悠久已经举办了22届相当于CTF的“世界杯”。 DEFCON CTF分为线上的预选赛和线下的决赛线上预赛采用解题模式jeopardy通常在每年的5月份面向全球黑客举行而现场决赛采用攻防模式attack/defense通常在每年的8月份于美国拉斯维加斯举行。 线上预赛排名前列的队伍才能够入围拉斯维加斯的现场决赛。虽然说是预赛但是题目难度一点都不低题目类型以二进制程序分析和漏洞利用为主Web和杂题只占非常少的比例尤其近年来的趋势更是如此。题目的复杂度和难度都很高风格更偏向模拟实际软件系统的漏洞挖掘与利用。 而除了参加预赛这种方式外还能通过参加其他“外卡赛”入围决赛。这些外卡赛通常也是一些质量很高的重量级比赛比如今年就包括有PlaidCTFBoston Key PartyGhost in the ShellcodeSECCON CTFRuCTFE以及去年的DEFCON CTF决赛只有获得这些比赛的冠军才能够获得DEFCON决赛的入场券所以难度一点也不比参加预赛低。 最终入围现场决赛的队伍通常为15-20支每年数量不一定相同依据规则而定。而攻防模式的比赛比起解题模式来说更为血腥和暴力强弱之差会变得异常明显。顶尖强队如PPP通常是一种虐杀全场的王者姿态在初始分几千的情况下最终得分可以到数万甚至数十万之多中等水平的强队则只能在守好自己的前提下尝试去弱队身上捞一点分数勉强找一找别人牙缝里剩下的东西最终得分通常都在初始分上下差不了太多而弱队在强队的碾压之下则根本连喘息之机都没有更不用谈还手之力了每年都会有若干支队伍难逃被血刷成零分的命运DEFCON决赛的残酷性也由此可见一斑。 决赛的题目类型以二进制漏洞利用为主难度会比预赛的题目还要高另外有时可能会有少量的Web题。所以DEFCON CTF整个比赛更注重选手在二进制程序分析方面的实力而不太像国内的大多数比赛主要考察选手在Web和渗透方面的实力。 Pwn2Own 2012 年规则改为采用积分制的夺旗式比赛。新的形式导致过去几年在该活动中取得成功的查理·米勒 (Charlie Miller)决定不参加因为它需要“现场”书写米勒认为有利于大团队的功绩。黑客对抗四大主流浏览器。 ZDI 指出2024年的 Pwn2Own 大赛将于2024年3月20日至22日在温哥华 CanSecWest 举行。本次大赛共分8个类别并将简化“汽车”类别并新增“云原生/容器”类别。本次大赛的总奖金池超过100万美元合作伙伴是特斯拉。 “汽车”类别将取消多层级目标仅关注漏洞影响和在车辆目标组件中实现代码执行情况。对于某些目标而言需要在多个系统中实现代码执行。赏金不累计例如出于需要在触及 Autopilot 的过程中利用车载娱乐系统但仅可获得 Autopilot 的赏金。除此以外本次大赛将在“企业通信”类别中新增目标 Slack。本次大赛的奖金池将超过100万美元现金和奖励。 本次大赛将分如下8个类别 Web 浏览器云原生/容器虚拟化企业应用服务器本地提权企业通信汽车 Web 浏览器类别 虽然浏览器是“传统的”Pwn2Own 目标但该类别中的目标一直在变化以便确保这些目标是相关的。本次大赛重新引入仅渲染利用选项其赏金仍然为6万美元。不过如果参赛选手拥有 Windows 内核提权或沙箱逃逸漏洞则可分别获得10万美元或15万美元。如利用同时适用于 Chrome 和 Edge浏览器则可获得“双击”附加奖金2.5万美元。基于 Windows 的目标将在 VMware Workstation 虚拟机中运行。所有浏览器除 Safari 外可获得 VMware 逃逸扩展。如候选人在攻陷浏览器的同时通过逃逸 VMware Workstation 虚拟机在主机操作系统上执行代码则可获得额外的8万美元和8个冠军积分点。Apple Safari 和 Mozilla firefox 仍要求完整的利用。 云原生/容器类别 这是本次大赛的新增类别ZDI 希望参赛选手能够将平时的优秀研究成果带到大赛。当然说到容器必提 Docker Desktop它是列表中的第一个目标。然而Docker Desktop 并非唯一目标。Containerd 运行时是行业标准且一直流行。Firecracker 作为创建和管理安全、多租户容器和基于功能的服务的常见选择也是列表中的第三个目标。 参赛选手要获得成功则exploit必须从 guest 容器/microVM 中启动且在主机操作系统上执行任意代码。本类别中的最后一个目标是gRPC即可在任何环境中运行的现代开源高性能远程程序调用 (RPC) 框架。参赛选手必须利用 gRPC 代码库中的漏洞来获得任意代码执行结果。 虚拟化类别 在每次比赛中虚拟化类别都会贡献一些高光时刻。和往常一样VMware 是本类别的主要目标VMware ESXi 和 VMware Workstation 都是其中的目标赏金分别是15万美元和8万美元。微软也再次成为本类别中的目标如参赛选手能够成功实现 Hyper-V 客户端guest-to-host 提权则可获得25万美元的赏金。Oracle VirtualBox 是最后一个目标赏金为4万美元。 本类别还设立了附加奖励。如参赛选手能够逃逸 guest OS且通过 Windows 内核漏洞除 VMware ESXi 外实现主机 OS 提权则可获得额外5万美元的赏金和5个积分点。因此Hyper-V 漏洞的最高赏金可达30万美元。 企业应用类别 企业应用类别再次回归Adobe Reader 和多个 Office 组件再次成为目标。今年ZDI 允许这些应用在 M系列的 MacBook 上运行。如参赛选手能够开发出实现沙箱逃逸或内核提权的 Reader 和 Office 365 应用的 exploit 则分别可获得5万和10万美元的赏金。Word、Excel 和 PowerPoint 都是合法目标。如适用则基于微软 Office 的目标将启用 Protected View 特性。Adobe Reader 将启用 Protected Mode 特性。 服务器类别 2024年的服务器类别稍有减少本次大赛主要关注服务器组件。这些服务器经常受到勒索团伙、国家黑客组织等的青睐因此这些组织手中存在 exploit。唯一的问题是我们能否在 Pwn2Own大赛上看到上述对手的exploitSharePoint 最近遭在野利用其中部分利用链已在去年的大赛上得到演示。微软 Exchange 一段时间以来都是一个热门目标本次大赛它也是目标之一赏金为20万美元。本类别的最后一个目标是 Windows RDP/RDS所设赏金额也是20万美元。 提权类别 本类别是 Pwn2Own 大赛的经典类别主要关注标准用户提权至高权限用户并执行代码的攻击。参赛选手必须利用内核漏洞实现提权。Ubuntu Desktop、Apple macOS 和微软 Windows 11 系统是本类别中的目标。 企业通信类别 ZDI 在2021年引入该类别用于反映这些工具在现代、远程员工中的重要性且在2021年大赛中均被攻陷。2024年ZDI 扩展了该类别将一直热门的 Slack 生产力平台囊括在内赏金为2.5万美元。参赛选手必须通过与目标应用的通信实施攻陷。一些通信请求包括音频通话、视频会议或信息。Zoom 和微软 Teams 都设立了6万美元的赏金希望能在本类别中看到更优秀的研究成果。 自2019年新增汽车类别后出现了一些很出色且具有创造性的研究成果。温哥华是本类别的诞生之地特斯拉再次回归。如之前所述本次大赛调整了一些规则但不意味着获得成功的难度降低。本次大赛将把 Tesla Model 3基于 Ryzen和 Tesla Model S基于 Ryzen列为目标在必要情况下还将增加等效的台式单元。去年所有的利用测试均在台式单元完成因为在真实车辆上的利用将对旁观人员和其它车辆带来危险。 活动背景 Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDIZero Day Initiative主办谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持通过黑客攻击挑战来完善自身产品。大赛自2007年举办至今每年三月在加拿大温哥华举办的CanSecWest安全峰会上举行。 Pwn2Own攻击目标包括IE、Chrome、Safari、Firefox、Adobe Flash和Adobe Reader的最新版本。对安全研究人员来说如果能在Pwn2Own上获奖这象征着其安全研究水平已经达到世界领先的水平。Pwn2Own上各参赛团队的表现也代表其国家网络攻防技术的实力。 参赛者如能够攻破上述广泛应用的产品将获得ZDI提供的现金和非现金奖励Google Project Zero也对本届比赛提供了额外奖励。而ZDI也会将产品漏洞反馈给相关厂商帮助厂商进行修复。 Pwn2Own 2016引入比赛积分制除单项冠军外设立了综合总冠军的奖项(Master of Pwn) ,代表了国际范围内软件和互联网行业对综合安全研究能力最强的参赛团队的最高认可只要达到比赛要求的漏洞利用展示都可以赢取积分。积分最高的冠军选手还将赢得ZDI漏洞奖励计划的6.5万分价值约2.5万美元的额外奖励。 新增VMWare Workstation Escape破解项目攻击目标操作系统和应用都是运行在虚拟机上并以额外7.5万美金的高额奖金被设定为今年最为关注的领域。 [10] 比赛时间 2016年3月16日-3月17日温哥华时间 [10] 赛程安排 将在安全峰会上由抽签随机决定并于赛前公布在惠普安全研究机构的官方博客上。 比赛要求 本次大赛要求对IE、Chrome、Firefox、Safari、Adobe Reader及Adobe Flash这六款广泛应用的软件进行未知漏洞攻击。所有被攻击设备的操作系统都使用了全部的补丁。 参赛者选择目标后按随机顺序排列最先攻下该目标的队伍获胜。获胜的标志是访问一个攻击者特制的站点使攻击者能够完全控制用户的电脑。 [11] 奖金设置 基于Windows操作系统的攻击目标及奖金设置 · Google Chrome64位7.5万美元 · Microsoft Internet Explorer 1164位开启EPM6.5万美元 · Mozilla Firefox:3万美元 · Adobe Reader running in Internet Explorer 1164位开启EPM6万美元 · Adobe Flash (64-bit) running in Internet Explorer 1164位开启EPM6万美元 基于Mac OS X操作系统的攻击目标及奖金设置 Apple Safari64位5万美元 另外对于基于Windows系统的攻击如果参赛者们获得了系统代码执行权限还将 额外获得2.5万美元的奖励。 对于谷歌Chrome浏览器来说如果有人可以在Chrome 42最新的版本上找到安全 问题Chrome安全小组将会再提供高达10000美元的奖励。 注意事项 1、攻击所利用的漏洞必须是未知、未公布、未向供应商提交过的。 2、漏洞不能重复利用。 3、远程攻击必须要排除操作背后的人为干扰如浏览恶意内容必须出现在用户正常的会话中不会出现重启或者下线/登录的情况。 [12] 比赛规则 参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari平台是在安装安全更新的Windows 7操作系统下运行Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作顺利攻破一个主流浏览器便奖励1万美元共4万美元。为了增加比赛难度参加黑客竞赛的参赛者不准使用Adobe Flash等第三方外挂。这些第三方外挂一直都是操作系统中的安全弱项破解专家Charlie Miller说只要浏览器装有Java或 Adobe Flash被黑简直是稀松平常。 智能手机也选了4大主流系统分别是iPhone os、RIM Blackberry黑莓机的Blod 9700、Nokia E72的Symbain S60、HTC Nexus One的Android系统每成功攻击一款手机便奖励1.5万美元共6万美元。
