Real-time Bitrix WAF Hack

Теги: Positive Technologies, waf, application firewall

Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.

Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.

Конкурс проводится параллельно с фестивалем 29 и 30 августа 2009 года. Конкурс начнется 29 августа в 12:00 и завершится 30 августа в 16:00.

Главный приз в конкурсе – коммуникатор. Дополнительные призы - программный продукт «1С-Битрикс: Управление сайтом» (редакции «Стандарт» и «Старт»).

Победители конкурса будут объявлены в 16:45 30 августа на фестивале СС9. Оценивать результаты будет группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

* Проактивная защита в системе управления веб-проектами «1С-Битрикс: Управление сайтом» – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности. Один из механизмов, WAF - проактивный фильтр, который обеспечивает защиту от большинства известных атак на веб-приложения. Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.

Правила участия в конкурсе

В конкурсе можно принять участие с 12:00 29 августа до 16:00 30 августа 2009 года.

Участвовать в конкурсе могут все желающие.

Участникам конкурса необходимо обнаружить и обойти следующие уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including, а затем отправить организаторам конкурса информацию о своей успешной попытке взлома с помощью веб-формы: http://bitrix-resultform.cc.org.ru/.

Результаты принимаются до 16:00 30 августа.

Адрес сайта для взлома (доступ к сайту будет открыт 29 августа в 12:00):

http://bitrix.cc.org.ru 

Победителей конкурса определят эксперты компаний Positive Technologies и «1С-Битрикс». Критерии успешности эксплуатации уязвимостей опубликованы на сайте bitrix.cc.org.ru. При определении победителей отдельно будут учитываться:

· Скорость – дополнительный шанс на победу получит тот, кто самым первым сможет воспользоваться одной из уязвимостей;

· Оригинальность – нестандартный и интересный вариант эксплуатации уязвимостей;

· Объем – количество предложенных вариантов взлома, как по одной уязвимости, так и по всем уязвимостям.

Внимание!

В случае организации DOS-атаки на сервера мы оставляем за собой право ограничить доступ к уязвимому серверу и серверу с веб-формой только с IP-адресов фестиваля.

Тот, кто попытается воспользоваться обнаруженными уязвимостями для вывода из строя сервера, а также для изменения информации на нем, получения данных о других участниках, будет дисквалифицирован.

На уязвимом сервере не хранятся данные о других участниках.

При заполнении веб-формы указывайте точно свои контактные данные! Эта информация необходима для вручения приза, если вы станете победителем конкурса.


или введите имя

CAPTCHA
Страницы: 1  2  
55555
28-08-2009 09:42:10
В случае организации DOS-атаки на сервера мы оставляем за собой право ограничить доступ к уязвимому серверу и серверу с веб-формой только с IP-адресов фестиваля. а если досить будут с IP-адресов фестиваля? =)) /мегакапча: 55555/
0 |
акроним
28-08-2009 15:04:29
там обычно такой тупой канал что заддосить не получится
0 |
аноним
28-08-2009 10:34:38
Кто первый будет ломать? Раскинем капчами... 43040
0 |
аноним
28-08-2009 10:39:59
Тот, кто попытается воспользоваться обнаруженными уязвимостями для вывода из строя сервера, а также для изменения информации на нем, получения данных о других участниках, будет дисквалифицирован. На уязвимом сервере не хранятся данные о других участниках. противоречие однако!
0 |
33401
28-08-2009 13:39:01
а че там ломать-то, несколько каментов в стиле секбаш и все, битрикс потерялся
0 |
97189
28-08-2009 10:57:01
1С решила съэкономить на беттатестерах и поручила искать дыры куче народа. Один коммуникатор (пара ихних же изделий не в счет) намного дешевше зарплат отдела тестирования софта...
0 |
ы
28-08-2009 11:03:32
ага, похекаешь и координаты оставишь, а они потом тебя найдут и посадят ))) хорош приз... кстати коммуникаторы в тюрьме какбы не к чему ))
0 |
777777
28-08-2009 14:30:46
+1 Именно так и подумал в первую очередь. Посадить не посадят, но на учет возьмут железно. И капча соглашается - 77777!
0 |
Yo
28-08-2009 15:35:52
ат4его же на волю будешь звонить, о пересылках договариваццо 88876
0 |
px
28-08-2009 11:28:17
При заполнении веб-формы указывайте точно свои контактные данные!Наши сотрудники уже выехали к вам, ждите.
0 |
Страницы: 1  2