Конкурс «Поиск уязвимостей в техническом решении по защищенному удаленному доступу к автоматизированной системе заказа пропусков»

image

Теги: уязвимость, конкурс, событие

«Газинформсервис» объявляет конкурс  в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности и поиска новых профессиональных решений.

ООО «Газинформсервис» объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.

Победитель получит приз в размере 100 000 рублей.

Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на Конференции ZeroNights.
На время проведения конкурса по адресу https://aszp.0n.gaz-is.ru/ опубликована автоматизированная система заказа пропусков на базе нашего продукта «Блокхост-АСЗП» (ссылка на описание продукта: http://aszp.gaz-is.ru). В системе зарегистрирован пользователь с правом создания заявок на пропуска. Логин и пароль этого пользователя не раскрываются. Искать нужно любые уязвимости, эксплуатация которых позволит выполнять от имени пользователя действия в системе (например, создавать заявки на пропуска), либо нарушают конфиденциальность, целостность и доступность данных, хранящихся в системе (названия объектов доступа, пользовательские данные, справочники и т.д.).

Описание уязвимостей отправляйте письмом на адрес zeronights@gaz-is.ru. Желательно указать пошаговое описание действий для воспроизведения уязвимостей и приложить скриншоты. Запрещается эксплуатировать уязвимости, приводящие к неработоспособности системы. Отправляя письмо с описанием уязвимостей, вы автоматически становитесь участником конкурса.

Комиссия ООО «Газинформсервис»  проанализирует все присланные уязвимости. 20 ноября 2012 года на конференции по информационной безопасности ZeroNights будет объявлен победитель. Комиссия будет принимать во внимание, как степень критичности найденных уязвимостей, так и время, которое ушло на их поиск.

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 4 месяца с момента подведения итогов конкурса.

Подробности участия в конкурсе изложены в Положении.


или введите имя

CAPTCHA
Страницы: 1  2  
Василий
02-11-2012 20:22:48
Более бредового конкурса придумать сложно. Наружу точит только форма авторизации. Вы предполагаете, что кто-то будет брутфорсить и назовете это уязвимостью? Или вы не уверены в том, что входная информация фильтруется? Для первого откройте для себя серверные решения (бан ip на каждый 3 неверный запрос), а для второго fuzzing.
0 |
Василий
02-11-2012 20:28:14
Кстати, деньги на приз в конкурсе есть, а на нормальный сертификат для https похоже что нет. Или вы думаете, что все имеют корневой сертификат CARSA-CA?
0 |
Greg
02-11-2012 23:28:23
Ребята правы. Если вы хотите проверить действительно вашу систему на требования безопасности, то выложите хотя бы тестовую учетку, иначе конкурс выеденного яйца не стоит.
0 |
Antikum
04-11-2012 11:43:14
"Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 4 месяца с момента подведения итогов конкурса." Хм, как всегда, никаких гарантий, только пыль в глаза пускают, для того чтобы было возможно скрыть плагиат... третий примитивный кумовской мир, мля...
0 |
онолитег
05-11-2012 15:10:15
очевидно что конкурс проводят маркетологи, закроют досрочно и потом в каждой бумажке-промокашке будут писать, мол наша система защищенная, никто не смог ее заломать и т.д., и т.п. if it's run, it can be cracked
0 |
Страницы: 1  2