Real-time Bitrix WAF Hack

Real-time Bitrix WAF Hack

Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.

Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.

Конкурс проводится параллельно с фестивалем 29 и 30 августа 2009 года. Конкурс начнется 29 августа в 12:00 и завершится 30 августа в 16:00.

Главный приз в конкурсе – коммуникатор. Дополнительные призы - программный продукт «1С-Битрикс: Управление сайтом» (редакции «Стандарт» и «Старт»).

Победители конкурса будут объявлены в 16:45 30 августа на фестивале СС9. Оценивать результаты будет группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

* Проактивная защита в системе управления веб-проектами «1С-Битрикс: Управление сайтом» – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности. Один из механизмов, WAF - проактивный фильтр, который обеспечивает защиту от большинства известных атак на веб-приложения. Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.

Правила участия в конкурсе

В конкурсе можно принять участие с 12:00 29 августа до 16:00 30 августа 2009 года.

Участвовать в конкурсе могут все желающие.

Участникам конкурса необходимо обнаружить и обойти следующие уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including, а затем отправить организаторам конкурса информацию о своей успешной попытке взлома с помощью веб-формы: http://bitrix-resultform.cc.org.ru/ .

Результаты принимаются до 16:00 30 августа.

Адрес сайта для взлома (доступ к сайту будет открыт 29 августа в 12:00):

http://bitrix.cc.org.ru  

Победителей конкурса определят эксперты компаний Positive Technologies и «1С-Битрикс». Критерии успешности эксплуатации уязвимостей опубликованы на сайте bitrix.cc.org.ru. При определении победителей отдельно будут учитываться:

· Скорость – дополнительный шанс на победу получит тот, кто самым первым сможет воспользоваться одной из уязвимостей;

· Оригинальность – нестандартный и интересный вариант эксплуатации уязвимостей;

· Объем – количество предложенных вариантов взлома, как по одной уязвимости, так и по всем уязвимостям.

Внимание!

В случае организации DOS-атаки на сервера мы оставляем за собой право ограничить доступ к уязвимому серверу и серверу с веб-формой только с IP-адресов фестиваля.

Тот, кто попытается воспользоваться обнаруженными уязвимостями для вывода из строя сервера, а также для изменения информации на нем, получения данных о других участниках, будет дисквалифицирован.

На уязвимом сервере не хранятся данные о других участниках.

При заполнении веб-формы указывайте точно свои контактные данные! Эта информация необходима для вручения приза, если вы станете победителем конкурса.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!