xp安全挑戰賽

xp安全挑戰賽

xp安全挑戰賽於2014年4月5日上午8點正式開始,2014年4月5日晚21點結束。

挑戰賽實際登錄參加挑戰賽的有57人。騰訊金山360的XP安全產品廠商的XP安全產品經受了國內參賽白帽黑客挑戰。

基本介紹

  • 中文名:XP安全挑戰賽
  • 系統:Windows XP
活動背景,活動規則,挑戰環境說明,安全軟體要求,挑戰流程,注意事項,評獎事宜,獎項設定,評獎規則,賽況,社會意義,

活動背景

WindowsXP在2014年4月8日後停止安全更新,各大安全公司紛紛自稱可以保護XP。保護XP的根本問題在於防禦漏洞攻擊。xp安全挑戰賽挑戰以XP SP3無補丁環境作為目標機(模擬微軟停止服務後漏洞百出的XP系統)。考驗安全軟體能否抵擋黑客攻擊,保護好目標機上的重要檔案。
此次XP挑戰賽,旨在網際網路上開設公正、公開、公平的 “XP +加固軟體平台”公益性環境,通過公眾參與打擂,對XP尚未發現的系統漏洞進行挖掘與通告,進一步增強各安全廠商產品針對XP的安全加固能力,增強中國現有XP用戶的安全感,消除微軟終止XP升級事件的民間恐慌情緒。

活動規則

挑戰活動面向所有安全技術愛好者。目標機防護產品選擇國內宣稱可以保護XP的安全軟體,包括360安全衛士(XP盾甲)、騰訊電腦管家(XP專屬版本)和金山毒霸(XP防護盾)。參照國際慣例,安裝當前各個安全廠商的2014年4月4日中午12點的最新版本 (比賽時間為4月5日早上8點),並開啟全部XP加固防護功能,本公司鄭重承諾:安全軟體版本來自各軟體的官網,且沒有經過任何修改。 攻破任意一款防護產品保護的目標機,前十名均可獲得3000元至50000元不等的獎金。最快攻破所有三款防護產品的挑戰者,可額外獲得50000元“全壘打”大獎。

挑戰環境說明

  1. 挑戰平台為每個攻擊者提供兩台虛擬機,一台目標機,一台Web伺服器,在一個虛擬網路中。
  2. Web伺服器:XP中文專業版+sp3+IIS+ip10.1.1.25,IIS不開啟ASP支持, 不支持PHP, 攻擊者可以查看、上傳、下載IIS根目錄下的檔案。
  3. 目標機:XP中文專業版+SP3+ie8+安全防護產品(上述三款安全軟體中任意挑選)。
  4. 目標:目標機下指定的doc檔案(比賽開始時臨時分配路徑),裡面存放攻擊成功的驗證碼,每台目標機都有自己唯一的驗證碼。
  5. 系統提供控制目標機訪問http://10.1.1.25/attack.html的功能。
  6. 安全軟體的版本,會根據比賽開始時間挑選各款安全軟體的XP專版的最新版本進行測試。

安全軟體要求

XP挑戰賽將對安全軟體的異常攔截行為進行採集取證。異常攔截行為是指針對大賽環境與規則進行的特定攔截行為,包含但不限於:
  1. 禁止任何程式讀取指定目標doc文檔;
  2. 禁止訪問靶場特定的網址/IP;
  3. 禁止訪問靶場特定的連線埠;
  4. 導致系統環境不可用;
  5. 其他情況,由大賽組委會出具相關證據判定。
一旦出現上述情況,組委會公示所採集的異常攔截行為數據,並進行質疑。

挑戰流程

挑戰平台為每個攻擊者提供兩台機器,一台目標機(XP+安全防護軟體),一台Web伺服器(XP+IIS+IP:10.1.1.25)。還提供控制目標機訪問http://10.1.1.25/attack.html的功能。
  1. 挑戰者在Web伺服器建立網站,上傳包含測試代碼的attack.html頁面。
  2. 挑戰者控制目標機打開IE8.0訪問網站http://10.1.1.25/attack.html,從目標機上獲取指定的doc檔案(比賽開始時臨時分配路徑)。
  3. 挑戰者向系統提交指定的doc檔案的驗證碼,並提交攻擊報告。
  4. 組會審核挑戰者的方案。
  5. 根據審核結果和提交時間評獎。

注意事項

  1. 系統不提供挑戰者直接登錄目標機的功能。
  2. 挑戰者在一個時間段內,只允許申請一套環境,如果需要改攻其他目標,請完成已有的攻擊任務,或者放棄已申請的目標,一旦放棄,在本期活動中將不能再申請攻擊該目標。
  3. 挑戰者不得修改環境中Web伺服器的IP位址,如修改,後果自負。
  4. 請將獲得的驗證碼提交到XP挑戰平台中驗證。系統驗證成功,才能算提交成功。如果是通過攻擊途徑獲得的驗證碼,但提交不成功,請立刻聯繫管理員。
  5. 系統以提交驗證碼的時間為準計算攻擊成功的名次。請先提交驗證碼,然後提交攻擊報告。
  6. 攻擊報告一定要清楚明了,以便組委會驗證攻擊過程的有效性。
  7. 挑戰者不得攻擊除目標以外的其他東西,一旦發現,將取消比賽資格。

評獎事宜

獎項設定

攻破任意一款安全軟體的系統, 以提交最終結果時間為計算標準,獎勵前十名,前三名大獎分別為:50000元,30000元,10000元,後七名分別獎勵3000元;對於最快同時攻破三款安全系統的挑戰者,額外獎勵50000元。

評獎規則

  1. 在各款產品的挑戰過程中,挑戰者最多可以嘗試50次訪問自己構造的網頁,超過次數後該款產品不計成績。
  2. 平台工作人員將對參賽者提交的結果進行覆核,覆核方法是:在全新的測試環境中,使用參賽者提供的網頁代碼,測試結果的有效性,會測試2次,如果有任意一次成功,則結果有效。
  3. 凡利用違規途徑的成績作廢。
  4. 平台工作人員有檢查參賽者提交的結果是否為作弊的權利。如果一名以上參賽者提交的結果相似度很高,那么取消相似者的成績。

賽況

2014年4月5日上午8點正式開始,計畫當晚20點結束。但由於挑戰平台下午3點多受到DDoS攻擊,造成平台官網出現故障,為彌補耽誤的時間,賽事延遲至晚21點結束。
此次挑戰賽開始前,報名參賽的人數達200多人。比賽期間,實際登錄參加挑戰賽的有57人。360、騰訊以及金山的XP安全產品廠商的XP安全產品經受了國內將近200名白帽黑客的檢驗。
經過本次比賽數據分析組的核實,在整整12個小時的比賽時間內,共有48人次挑戰360安全衛士、39人次挑戰騰訊電腦管家,但均未獲得成功;有51人次挑戰北信源金甲防線,其中3人次成績有效,攻擊方法總計1種;有73人次挑戰百度防毒,20人次獲得成功,攻擊方法總計3種;有49人次挑戰金山毒霸,9人次成績有效

社會意義

此次XP挑戰賽,旨在網際網路上開設公正、公開、公平的 “XP +加固軟體平台”公益性環境,通過公眾參與打擂,對XP尚未發現的系統漏洞進行挖掘與通告,進一步增強各安全廠商產品針對XP的安全加固能力,增強中國現有XP用戶的安全感,消除微軟終止XP升級事件的民間恐慌情緒

相關詞條

熱門詞條

聯絡我們