Hackpwn2015安全极客狂欢节

admin
admin
admin
0
文章
0
评论
2023-12-08 17:48:24 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

http://p9.qhimg.com/t019f14e5cd415d6c55.png

我们,就要这样的你!

凯文·米特尼克说“勇于挑战智力,就像攀登珠穆朗玛峰一样”

这样的人从不墨守陈规!也不遵循现状!他们桀骜不驯!

你可以赞扬或诋毁他们,但不可以轻视他们,你可以认为他们是疯子,但,我们认为他们是天才!

只有认为可以改变世界的人才可以改变世界!

打破链接,去改变充满未知和未见的万物互联世界。

向疯狂的人致敬!


官网地址:http://hackpwn.360.cn/index.html


评定规则

HackPwn关注的智能设备分为五大类,O2O业务、智能交通、智能娱乐、智能终端、智能生活。
    2.智能交通
    3.智能娱乐
    4.智能终端
    5.智能生活


O2O业务:奖金池为100万

• 安全漏洞征集规则

目前针对互联网O2O业务征集安全漏洞,主要包括打车类、上门服务类、社区服务类,上网购物订餐类等业务。比如通过交通类软件,跟踪用户的活动轨迹,伪造司机身份批量抢单,导致业务瘫痪。通过漏洞篡改自动售卖机所卖食品的价格,批量刷单,恶意订购。利用手机应用漏洞,绕过指纹识别系统,强行付款,清光购物车等(买买买)。我们会根据漏洞的利用难度、危害程度、影响范围综合评定奖金,最高奖金100W。


智能交通:奖金池为60万

• 评判标准

绕过系统内置的用户验证机制。

对车辆进行一定的改造或者添加某些部件改变车辆的功能。

非物理接触改变设备原有功能控制车载系统(车机)。

非物理接触改变设备原有功能的情况下通对车辆实施控制操作,如闪灯,鸣笛等。


 • 参考场景

远程控制特斯拉的制动系统

修改Connect Drive GPS对车辆的定位信息


智能娱乐:奖金池为60万

  • 评判标准

绕过系统内置的用户验证机制。

物理接触改变设备原有功能,或者增加设备原有设计中没有的功能

非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能

非物理接触的情况下远程控智能娱乐设备的最高权限root
  

• 参考场景

在XBoX上运行自制应用程序


智能终端:奖金池为60万

   • 评判标准

绕过系统内置的用户验证机制。

参考Pwn2own Mobile的竞技标准

 实现Android系统的Root和ioS系统的越狱
 

  • 参考场景

实现智能手机在用户认为进行关机操作以后进行麦克风或者摄像头开启

通过伪造指纹虹膜人脸等绕过生物验证识别机制

绕过iCloud或应用市场的证书验证机制

通过内置浏览器远程获取智能手机的敏感用户数据


智能生活:奖金池为60万

   • 评判标准

突破系统内置的用户验证机制

物理接触改变设备原有功能,或者增加设备原有设计中没有的功能。

非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能

非物理接触的情况下远程控智能娱乐设备的最高权限root


 • 参考场景

温度传感器显示当前温度为99°

远程任意控制智能开关。

获取某品牌摄像头的root权限,命令执行

优胜评定原则

1、智能交通、智能娱乐、智能终端、智能生活类涉及Pwn的目标设备,原则上仅限于设备厂商原生系统及应用。设备软硬件均为正式活动前30天最新版本,设备配置为缺省配置。

2、参加活动所使用的技术手段须为自主实现,公开或者已知的Pwn技术手段不能作为本次活动的优胜标准,获胜选手在领取设备专项奖励前须向Hackpwn2015安全极客狂欢节评委会提交相关技术手段的详细说明。

3、选手通过报名先后顺序确定上场顺序。当一个设备专项存在多个获胜者时,评委将评判具体技术方法是否相同,相同方法的第一个选手为获胜者获得奖金,其余选手不能获得奖金。不同方法的都为获胜者,按技术方法完成时间最短者为第一优胜者,第一优胜者获得该设备专项奖金的一半,其余优胜者平分奖金。如出现争议,将由评委委员会做出最终裁决。

4、Hackpwn2015安全极客狂欢节评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供额外的奖励。

5、以上通用评判标准未覆盖的设备和技术手段,Hackpwn2015安全极客狂欢节评委会可以根据选手项目的思路新颖程度、技术难度和实现结果的影响制定相应评判标准。

6、本次活动评判标准和规则的最终解释权归活动评委会所有.
    

免责条款约束与责任

1、Hackpwn2015安全极客狂欢节组委(以下称我们)认可获胜选手个人的安全技术能力,但不认为活动结果和获胜选手所属机构的安全技术能力存在对应关系。

2、我们不认为活动结果能直接反映相关智能设备的安全性水平。

3、我们严格保证对厂商负责任的信息披露。我们会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

4、我们承诺非中国籍Hackpwn2015安全极客狂欢节评委不参与中国产智能设备项目的评定工作。

5、我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

http://p6.qhimg.com/t01b97bb2a2296eeb96.png

http://p6.qhimg.com/t01c314229bfac5dfa4.png

http://p4.qhimg.com/t01b6cc75dc91620af2.png

http://p5.qhimg.com/t0128378fce9fa2ae73.png

http://p4.qhimg.com/t0148811bd7281063c3.png

http://p2.qhimg.com/t01122a98e89714af8e.png

http://p9.qhimg.com/t01ed30bd5add732b35.png

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
Hackpwn2015安全极客狂欢节 AnQuanKeInfo

Hackpwn2015安全极客狂欢节

我们,就要这样的你!凯文·米特尼克说“勇于挑战智力,就像攀登珠穆朗玛峰一样”这样的人从不墨守陈规!也不遵循现状!他们桀骜不驯!你可以赞扬或诋毁他们,但不可以轻视
12-080 评论
挖财网招聘安全总监 AnQuanKeInfo

挖财网招聘安全总监

挖财诞生于2009年6月的“挖财”是国内最早的个人记账理财平台,专注于帮用户实现个人资产管理的便利化、个人记账理财的移动化、个人财务数据管理的云端化。 现有服务
12-080 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0