前言 本届主题是“见招拆招”,旨在汇聚安全行业的精英,为更多的网络安全从业人员及爱好者提供技术交流和学习平台,鼓励那些专注求解、见招拆招的“极客”,也让大家更好的了解网络安全重大的意义,共建网络安全。 你是否想要个一展拳脚的机会,和全国高手对决? 你是否想体验作为一名极客,去攻占网络世界? 你是否想赢得丰厚奖金,肆意挥霍你的任性? 如果你相信自己的实力,就来参加挑战吧! 赛事介绍 SQL注入攻击(SQL Injection),被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞,可能导致数据被窃取、更改、删除,以及进一步产生网站被嵌入恶意代码、被植入后门程序等危害。同时,SQL注入攻击也是入侵防御和检测系统重点关注的攻击类型。 比赛时间 2017年4月28日12:00 至 2017年5月1日 24:00 参赛步骤 第一步:注册 访问http://bsrc.baidu.com,注册成为BSRC用户,并完善个人信息(如果已注册可以直接跳过此步骤)。 第二步:开始挑战 存在注入点的URL http://sqlitest.anquanbao.com.cn/api/query?art_id=1 判定标准 通过sql注入读到mysql系统信息(user,version)或数据库名。 通过sql注入读到表内的secret数据。 提交方式 向[email protected]提交完整的可用的绕过payload以及读取的数据。 标题:sql注入绕过挑战赛case提交 正文中请注明在 BSRC的 id。 奖励机制 二档:读到mysql系统信息(user,version)或数据库名100元京东卡 一档:通过sql注入读到表内的secret数据 1000元京东卡 (一种绕过方法只计一次最高档成绩,可提交多种方法,奖金可累积;使用相同绕过方法的首个提交者得分,其他提交者不得分) 奖金发放 比赛结束后一周内我们会公布获奖选手名单。为了能顺利拿到奖金,提交邮件时请一定使用BSRC用户昵称。 特别说明 1. 禁止DDOS攻击和 CC攻击。 2. 禁止恶意破坏靶场环境。 3. 禁止对业务造成稳定性、可用性等受损。 4. 避免以社工方式渗透网络,聚焦分析业务的技术层面脆弱性。 5. 百度在职员工不参与本次比赛。 本次活动最终解释权归百度所有,对于恶意违反上述规定的人员,百度会依据实际情况采取不同力度的处罚措施,且有权追究其法律责任。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
