本期挑战活动是由竞评演练工作组主办。本期挑战活动面向所有的安全技术从业人员和爱好者开放。靶机使用XP全补丁版本(4月8日),并选择国内知名的安全
防护软件产品,包括360安全卫士(XP盾甲)、百度杀毒国际版、北信源金甲防线、金山毒霸(XP防护盾)和腾讯电脑管家(XP专属版本),安全防护软件
选择各个安全厂商12月17日中午12点的最新版本
(比赛时间为12月19日早上8点),并开启默认的XP加固防护功能。大赛组委会郑重承诺:安全防护软件版本来自各安全厂商的官网,且没有经过任何修改。
攻破任意的靶机,前十名均可获得4000元至50000元不等的奖金,并颁发精美的获奖证书,您可关注XP靶场挑战赛新浪官方微博:@XP靶场挑战赛,参
与#XP靶场挑战赛#话题讨论,欢迎大家参与互动!
XP靶场挑战赛奖金方案
-
1、突破安全防护产品的且提供有效攻击代码(POC)的第1-10名挑战者将获得奖励。
-
2、挑战赛奖金分为基本奖和额外奖两部分。基本奖由组委会提供;额外奖由厂商自愿赞助,赞助奖金额度也由厂商自主决定。基本奖平均分配在5个靶标上。
-
3、额外奖奖励前三名,由于厂商提供的赞助奖金额度不同,各靶标的额外奖有多有少。
-
4、基本奖每家靶标3万,奖给第4-10名:每人4000元。
-
5、详情请见奖金设置。
挑战环境说明
-
1、挑战平台为每个挑战者提供一个相对封闭的虚拟局域网环境,内有两台虚拟机,一台靶机,一台Web服务器。
-
2、Web服务器:XP中文专业版+IIS,IIS不开启ASP支持,不支持PHP, 内设FTP服务器,攻击者可以查看、上传、下载IIS根目录下的文件。
-
3、靶机:XP中文专业版+全补丁【4月8日】+ie8+安全防护软件 ,安全防护软件为360安全卫士(XP盾甲)、百度杀毒国际版、北信源金甲防线、金山毒霸(XP防护盾)和腾讯电脑管家(XP专属版本)中的任意一款。
-
4、目标:靶机下指定文件(比赛开始时临时分配路径),里面存放攻击成功的验证码,每台靶机都有自己唯一的验证码。
-
5、系统提供查看、上传、下载web服务器IIS根目录下的文件的功能,和控制靶机访问挑战者建立的指定页面的功能。
-
6、安全软件的版本,会根据比赛开始时间挑选各款安全软件的XP专版的最新版本进行挑战,没有XP专版的,使用通用版本。
安全软件要求
-
XP靶场挑战赛将对安全软件的异常拦截行为进行采集取证。异常拦截行为是指针对大赛环境与规则进行的特定拦截行为,包含但不限于:
-
1、禁止任何程序读取指定目标文档。
-
2、禁止访问靶场特定的网址/IP。
-
3、禁止访问靶场特定的端口。
-
4、攻击靶标环境,导致靶标环境不可用。
-
5、攻击挑战平台,导致挑战平台不可用。
-
6、其他情况,由大赛组委会出具相关证据判定。
-
一旦出现上述情况,组委会公示所采集的异常拦截行为数据,并取消安全厂商的参赛资格,保留法律追究的权利。
注意事项
-
1、 系统不提供挑战者直接登录web服务器和靶机的功能。
-
2、挑战者在一个时间段内,只允许申请一套环境,如果需要改攻其他目标,请完成已有的攻击任务,或者放弃已申请的目标,一旦放弃,在本期活动中将不能再申请攻击该目标。
-
3、挑战者不得修改环境中Web服务器的IP地址,如修改,后果自负。
-
4、请将获得的验证码提交到XP挑战平台中验证。系统验证成功,才能算提交成功。如果是通过攻击途径获得的验证码,但提交不成功,请立刻联系管理员。
-
5、系统以提交验证码的时间为准计算攻击成功的时间。挑战成功后,请先提交验证码,后提交攻击报告。
-
6、攻击报告一定要清楚明了,以便组委会验证攻击过程的有效性。
-
7、挑战者不得攻击除目标以外的其他东东,一旦发现,将追究法律责任。
-
8、在挑战过程中,挑战者最多可以尝试50次访问自己构造的网页,超过次数系统自动禁止访问。
复核规则
-
1、大赛技术委员会将对挑战者提交的结果进行复核,复核方法是:在全新的测试环境中,使用参赛者提供的网页代码,测试结果的有效性,会测试2次,如果有任意一次成功,则结果有效。
-
2、大赛技术委员会将会对参赛的安全软件进行规则风险规避测试,测试的结果将公布在XP靶场挑战赛的官网。
-
3、凡利用违规途径的成绩作废。

评论