前言
本届主题是“见招拆招”,旨在汇聚安全行业的精英,为更多的网络安全从业人员及爱好者提供技术交流和学习平台,鼓励那些专注求解、见招拆招的“极客”,也让大家更好的了解网络安全重大的意义,共建网络安全。
你是否想要个一展拳脚的机会,和全国高手对决?
你是否想体验作为一名极客,去攻占网络世界?
你是否想赢得丰厚奖金,肆意挥霍你的任性?
如果你相信自己的实力,就来参加挑战吧!
比赛时间
2017年9月21日12:00 至 2017年9月23日 24:00
挑战环境
web漏洞靶场:
http://sqlitest.anquanbao.com.cn
模拟真实存在漏洞的网站,参与者可以综合利用多种方式绕过网站安全防护获取敏感信息
判定标准
· 获得至少一种该整站的敏感信息(打包全站源代码、拖库等)
· 获得至少一种该站点部分敏感信息(获得当前数据库账号密码、站点及php配置信息等)
· 发现web程序漏洞(弱口令、XSS、文件包含、SQL绕过登录验证等),且每种漏洞可以使用一种及以上利用方式
参赛要求
· 禁止利用web站点之外的漏洞,如操作系统、数据库服务的EXP
· 禁止使用对他人有害的代码(如蠕虫、未经提示获取他人信息的js等)
· 禁止使用长时间影响系统性能的扫描器(可临时单线程使用sqlmap等工具测试)
提交方式
参与活动发现漏洞后请您第一时间将完整的case及数据以压缩包的格式发送至本活动官方邮箱
邮箱:wafgame@baidu.com
标题:WAF靶场演练case提交
请在邮件正文中标明提交参赛者姓名、ID、有效联系方式
奖励机制
|
级别 |
要求 |
奖金 |
|
一级 |
通过有效方式获得该整站的敏感信息(打包全站源代码、拖库等) |
500元 |
|
二级 |
通过有效方式获得该站点部分敏感信息(获得当前数据库账号密码、站点及php配置信息等) |
200元 |
|
三级 |
发现web程序漏洞(弱口令、XSS、文件包含、SQL绕过登录验证等),且每种漏洞可以使用一种及以上利用方式 |
50元 |
(一种提交方法只计一次最高档成绩,可提交多种方法,奖金可累积;使用相同绕过方法的首个提交者得分,其他提交者不得分)
奖金发放
比赛结束后两周内我们会公布获奖选手名单。
特别说明
· 参与者需独立完成任务,每一类漏洞可以提交多种利用方式,但依据每种利用方式只取最先提交为有效的原则;
· 评委会负责各方提交结果审核, 参与者有权就对自己的重复无效评审结论向评委会提出异议进行二次评审,二次评审结果为终审结果;
· 各奖项按发现时间先后、发现漏洞数量、同一类漏洞的不同利用方式排序,奖金可累计;
· 发现作弊者可以匿名举报,经核实将作弊者奖项转发举报人。
本次活动最终解释权归百度所有,对于恶意违反上述规定的人员,百度会依据实际情况采取不同力度的处罚措施,且有权追究其法律责任。
