BYR Achieve · 镜像论坛

由竞评演练工作组主办的“XP靶场挑战赛”正在报名，7月31日正式比赛。关注官网：http://www.erangelab.org ；报名及挑战赛平台地址：http://xp.erangelab.com ；官微：@XP靶场挑战赛 XP靶场挑战赛介绍–常见问题解答: 1. 什么是XP挑战平台？ XP挑战平台是承载“XP靶场挑战赛”的服务平台。是一个面向社会、面向各个安全厂商，公正、公开、公平的公益性挑战平台，主要是针对各个安全厂商在微软宣布于4月8日停止对XP操作系统升级后，推出的各种XP系统加固产品进行挑战与实战检验。XP挑战平台包括：用户注册、登录管理；挑战操作资源申请、挑战操作；提交结果、查看挑战纪录、个人资料修改；以及用于进行挑战活动监管及资源管理的功能。 2. XP靶场挑战赛是个什么性质的比赛？通过开放的实验环境，鼓励社会上具有专业技术能力的人对XP典型应用场景和特定安全防护产品的实际安全效果进行挑战。通过这个过程来验证XP典型应用场景安全风险、检验特定安全防护产品真实水平。 3. XP靶场挑战赛的目的和意义是什么？帮助用户获得XP及相关安全防护产品最新的安全状态、针对特定风险的应对建议、合理使用特定安全防护产品的参考；同时，帮助相关安全防护产品的供应商不断改进自身产品和服务。从长远来说还有两层意义，一是安全防护企业在该过程中不断获取的经验和验证成熟的技术能力，可以输出移植到我国自主操作系统的安全防护设计中；二是可以逐渐使我国在终端安全防护领域发展到国际领先水平，成为未来构建应对高级威胁能力的重要补充。 4. XP靶场挑战赛主办方是谁？本次XP靶场挑战赛的主办方是竞评演练工作组。竞评演练工作组是主管网络空间环境下的网络靶场，安全竞赛，安全测评和应急演练等工作的组织，也是XP挑战系列赛的唯一领导和决策机构。 5. XP靶场挑战赛组织结构及职责是什么？组织机构有竞评演练工作组、竞演办、技术委员会、监督委员会、用户观察团，以及核心技术运作团队。其中技术委员会、监督委员会的组成人员有业内第三方专家、参赛企业代表、赛事组织人员，囊括了来自中科院计算所和信工所、国防科技大学、哈尔滨工业大学、清华大学的专家，以及来自360、北信源、百度、金山、绿盟、启明星辰、腾讯、知道创宇等相关企业的高管人员。对于用户观察团的成员，由国内重要信息系统用户、普通个体用户自愿申请加入。监督委员会主要实现对整个比赛过程的监督，统一媒体宣传策略等，以避免出现刻意的违规作弊或其他有违根本原则的行为。技术委员会主要指导比赛的所有技术环节，包括比赛流程、相关技术方案、靶标选择等。用户观察团能够观战挑战赛的全过程，但不能干涉挑战赛。核心技术运作团队由挑战平台建设团队组成，主要负责XP靶场挑战赛的靶场建设运行、具体赛事运作、相关数据分析、攻击方法提取、信息通报宣传等。 6. 有哪些安全防护软件在此大比拼？此次“XP靶场挑战赛”安全防护软件包括：360安全卫士（XP盾甲）、百度杀毒、北信源金甲防线、金山毒霸（XP防护盾）和腾讯电脑管家（XP专属版本）。 7. 报名人有什么要求，如何报名？我们欢迎任何单位和个人加入我们的XP靶场挑战赛，我们希望更加猛烈的炮火，更加渴望各位隐藏在黑夜里的传说大牛，向XP开炮！具体报名请访问XP挑战平台http://xp.erangelab.com，或者关注“XP靶场挑战赛”官网http://www.erangelab.org或官方微博@XP靶场挑战赛。 8. 参加本次XP靶场挑战赛的时间流程是什么？报名时间：2014年7月19日-28日挑战时间：2014年7月31日 8:00——20:00 挑战时长：12小时公布结果：2014年8月1日 9. 本次XP靶场挑战赛的靶标和规则是什么？此次“XP靶场挑战赛”将以微软XP系统及其上的国产安全防护软件为靶标，靶标均为Windows XP+SP3系统和IE8浏览器无额外补丁环境，并安装一款安全防护软件，安全防护软件包括：360安全卫士（XP盾甲）、百度杀毒、北信源金甲防线、金山毒霸（XP防护盾）和腾讯电脑管家（XP专属版本），挑战者可任选其中一款产品保护的靶机进行攻击。挑战者必须是利用微软产品和相关安全软件的漏洞（已知或者未知）攻击。 10.本次XP靶场挑战赛的挑战流程是什么？第一步：挑战者在Web服务器建立网站，上传包含测试代码的页面。第二步：挑战者控制靶机打开IE8.0访问网站指定页面（比赛开始时分配），从靶机上获取指定的文件(比赛开始时分配路径)。第三步：挑战者向系统提交指定文件的验证码，并提交攻击报告。第四步：组委会审核挑战方案。第五步：根据审核结果和提交时间确定名次。 11. 请具体说明一下挑战环境？ 1、挑战平台为每个挑战者提供一个相对封闭的虚拟局域网环境，内有两台虚拟机，一台靶机，一台Web服务器。 2、Web服务器：XP中文专业版+IIS，IIS不开启ASP支持，不支持PHP，内设FTP服务器，攻击者可以查看、上传、下载IIS根目录下的文件。 3、靶机：XP中文专业版+SP3+ie8+安全防护软件，安全防护软件为360安全卫士（XP盾甲）、百度杀毒、北信源金甲防线、金山毒霸（XP防护盾）和腾讯电脑管家（XP专属版本）中的任意一款。 4、目标：靶机下指定文件(比赛开始时临时分配路径)，里面存放攻击成功的验证码，每台靶机都有自己唯一的验证码。 5、系统提供查看、上传、下载web服务器IIS根目录下的文件的功能，和控制靶机访问挑战者建立的指定页面的功能。 6、安全软件的版本，会根据比赛开始时间挑选各款安全软件的XP专版的最新版本进行挑战，没有XP专版的，使用通用版本。 12.请说明对安全软件的要求？ XP靶场挑战赛将对安全软件的异常拦截行为进行采集取证。异常拦截行为是指针对大赛环境与规则进行的特定拦截行为，包含但不限于： 1、禁止任何程序读取指定目标文档。 2、禁止访问靶场特定的网址/IP。 3、禁止访问靶场特定的端口。 4、攻击靶标环境，导致靶标环境不可用。 5、攻击挑战平台，导致挑战平台不可用。 6、其他情况，由大赛组委会出具相关证据判定。一旦出现上述情况，组委会公示所采集的异常拦截行为数据，并取消安全厂商的参赛资格，保留法律追究的权利。 13.请说明一下审核规则？ 1、大赛技术委员会将对挑战者提交的结果进行复核，复核方法是：在全新的测试环境中，使用参赛者提供的网页代码，测试结果的有效性，会测试2次，如果有任意一次成功，则结果有效。 2、大赛技术委员会将会对参赛的安全软件进行规则风险规避测试，测试的结果将公布在XP靶场挑战赛的官网。 3、凡利用违规途径的成绩作废。 14.本次XP靶场挑战赛的奖金方案是什么？本次XP靶场挑战赛的奖励对象是突破安全防护产品的且提供有效攻击代码（POC）的第1-10名挑战者。奖金组成：挑战赛奖金分为基本奖和额外奖两部分。基本奖由组委会提供；额外奖由厂商自愿赞助，赞助奖金额度也由厂商自主决定。基本奖平均分配在5个靶标上。奖金分配比例：企业额外奖奖给各个靶标前三名获奖者，用于获得相应的有效攻击代码，各占比例如下：第1名：50%；第2名：30%；第3名：20%；基本奖由各个靶标第4-10名获奖者平分。 15.请具体说明各靶标奖金分配是什么？目前的奖金额度为：主办方：15万，360：10万，腾讯：5万，百度：5万，金山：5万，北信源：5万，共计45万。所以各个靶标奖金分配方案如下： 360：奖金10万，第1名5万，第2名3万，第3名2万。腾讯，百度、金山和北信源：各家奖金5万，第1名2.5万，第2名1.5万，第3名1万。基本奖：每家靶标3万，奖给第4-10名：每人4000元。 16.请说明“XP靶场挑战赛”的消息发布形式？ “XP靶场挑战赛”消息发布平台包括：官网http://www.erangelab.org；XP挑战平台http://xp.erangelab.com；官方微博@XP靶场挑战赛； 17.有没有赛前介绍或赛前培训安排？有。详见网址：http://erange.heetian.com/pages/cc.jsp?w=1&c=C172.19.104.182014071517083000001 18.目前竞赛的联系方式是什么？详见网站 http://www.erangelab.org/和http://xp.erangelab.com/。

xp靶场挑战赛正在火热报名中(欢迎各路英雄)