Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.
Конкурс проводится параллельно с фестивалем 29 и 30 августа 2009 года. Конкурс начнется 29 августа в 12:00 и завершится 30 августа в 16:00.
Главный приз в конкурсе – коммуникатор. Дополнительные призы - программный продукт «1С-Битрикс: Управление сайтом» (редакции «Стандарт» и «Старт»).
Победители конкурса будут объявлены в 16:45 30 августа на фестивале СС9. Оценивать результаты будет группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».
* Проактивная защита в системе управления веб-проектами «1С-Битрикс: Управление сайтом» – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности. Один из механизмов, WAF - проактивный фильтр, который обеспечивает защиту от большинства известных атак на веб-приложения. Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.
Правила участия в конкурсе
В конкурсе можно принять участие с 12:00 29 августа до 16:00 30 августа 2009 года.
Участвовать в конкурсе могут все желающие.
Участникам конкурса необходимо обнаружить и обойти следующие уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including, а затем отправить организаторам конкурса информацию о своей успешной попытке взлома с помощью веб-формы: http://bitrix-resultform.cc.org.ru/ .
Результаты принимаются до 16:00 30 августа.
Адрес сайта для взлома (доступ к сайту будет открыт 29 августа в 12:00):
Победителей конкурса определят эксперты компаний Positive Technologies и «1С-Битрикс». Критерии успешности эксплуатации уязвимостей опубликованы на сайте bitrix.cc.org.ru. При определении победителей отдельно будут учитываться:
· Скорость – дополнительный шанс на победу получит тот, кто самым первым сможет воспользоваться одной из уязвимостей;
· Оригинальность – нестандартный и интересный вариант эксплуатации уязвимостей;
· Объем – количество предложенных вариантов взлома, как по одной уязвимости, так и по всем уязвимостям.
Внимание!
В случае организации DOS-атаки на сервера мы оставляем за собой право ограничить доступ к уязвимому серверу и серверу с веб-формой только с IP-адресов фестиваля.
Тот, кто попытается воспользоваться обнаруженными уязвимостями для вывода из строя сервера, а также для изменения информации на нем, получения данных о других участниках, будет дисквалифицирован.
На уязвимом сервере не хранятся данные о других участниках.
При заполнении веб-формы указывайте точно свои контактные данные! Эта информация необходима для вручения приза, если вы станете победителем конкурса.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале