时间:2023年10月31日-11月1日
地点:成都市天府国际会议中心
大赛规则
一、总则
1. 关于成功的漏洞利用演示的评判和说明:
无论一个参赛者参与多少目标赛项,一个漏洞只能使用一次,且漏洞必须是0day。
2. 软件更新和配置
所有目标赛项和相关操作系统将在10月30日23:59(格林尼治标准时间+8)之前更新为最新且完全完全修复的版本。所有目标软件都会安装完毕并配置为为默认配置。服务器端目标可以使用可以下载的标注设置和配置。
3. 时间限制
演示期间,每位参赛者有3次漏洞利用机会; 每次尝试必须在5分钟内完成,用于网络和设备配置的时间不计算在内。4. 奖金
本次大赛奖金分为组委会奖金(300万)+厂商奖金(定向,预计400万)两个部分。厂商提供的奖金标准为每个产品奖金池10万-30万元,根据厂商自身的预算情况和产品漏洞价值,由厂商自行提报和发放。在此基础上,由组委会根据厂商参与程度、同类别参赛竞争情况、漏洞实际价值等,按比例补充其他产品的奖金池。奖金池将根据参赛队伍和漏洞提交等情况动态调整奖金分配比例。若队伍获得的总奖金超过产品赛奖金池,则等比例下调全部队伍所获奖金。
5. 同一目标中的多个参赛者
若不同队伍采用不同的技术路线和手段成功实现同一题目的破解,则均分奖金池;若不同队伍采用的技术路线及手段相同,则以两倍基数与其他破解成功的队伍均分奖金。例如,若A、B、C三支队伍采用不同漏洞成功破解了6万美金的一个赛题,则A、B、C各获得2万美金;若四支队伍A、B、C、D,其中,A、B、C采用相同漏洞,D采用不同漏洞,均成功破解了6万美金的一个赛题,则A、B、C首先和D均分奖金,D队获得3万美金,A、B、C三队均分另外一半奖金,即A、B、C分别获得1万美金。
6. 演示审核
在成功演示了漏洞利用之后,参赛者必须向组织者提供两样东西:描述漏洞利用中所有漏洞和技术信息的详细文档,以及演示中使用的完整漏洞利用视频。
漏洞和漏洞利用信息将向由目标供应商和组织者代表组成的评委团披露。他们通过检查演示的整个过程和审查参赛者提供的信息,以及重播漏洞利用视频,保留决定参赛者是否成功攻破目标的权利。
为了解决参赛者和评委之间的任何异议,一个由7位在这个业界享有盛誉的顾问组成技术监督委员会(在比赛前由主办方选出并公布),将要求进行匿名投票并做出最终决定。请注意,组织者将指派委员会的牵头顾问。
在审核之前,漏洞利用中使用的漏洞不能泄露给任何其他第三方(包括目标软件供应商和赞助商);否则,参赛者将无法得到奖励。
7. 漏洞报告与披露流程
组委会遵循负责任的漏洞披露,即漏洞发现者先报送漏洞,待厂商修复漏洞后,厂商再公告相关漏洞信息并发布补丁。赛前需明确漏洞报告给厂商,任何个人和组织不得在厂商发布该漏洞补丁前公开披露漏洞细节信息。比赛阶段,如厂商派人参与到技术裁判组,首先由现场裁判判定该项目演示成功,再由选手将该漏洞相关的文档信息(任何时候都不提供EXP)提交至内审裁判,由内审裁判使用比赛专用设备并加密将信息与厂商技术人员共享,要求厂商在接收漏洞后的指定周期内修复并提供漏洞补丁,在补丁发布后进行公开披露。
1. 关于成功的漏洞利用演示的评判和说明:
无论一个参赛者参与多少目标赛项,一个漏洞只能使用一次,且漏洞必须是0day。
2. 软件更新和配置
所有目标赛项和相关操作系统将在10月30日23:59(格林尼治标准时间+8)之前更新为最新且完全完全修复的版本。所有目标软件都会安装完毕并配置为为默认配置。服务器端目标可以使用可以下载的标注设置和配置。
3. 时间限制
演示期间,每位参赛者有3次漏洞利用机会; 每次尝试必须在5分钟内完成,用于网络和设备配置的时间不计算在内。4. 奖金
本次大赛奖金分为组委会奖金(300万)+厂商奖金(定向,预计400万)两个部分。厂商提供的奖金标准为每个产品奖金池10万-30万元,根据厂商自身的预算情况和产品漏洞价值,由厂商自行提报和发放。在此基础上,由组委会根据厂商参与程度、同类别参赛竞争情况、漏洞实际价值等,按比例补充其他产品的奖金池。奖金池将根据参赛队伍和漏洞提交等情况动态调整奖金分配比例。若队伍获得的总奖金超过产品赛奖金池,则等比例下调全部队伍所获奖金。
5. 同一目标中的多个参赛者
若不同队伍采用不同的技术路线和手段成功实现同一题目的破解,则均分奖金池;若不同队伍采用的技术路线及手段相同,则以两倍基数与其他破解成功的队伍均分奖金。例如,若A、B、C三支队伍采用不同漏洞成功破解了6万美金的一个赛题,则A、B、C各获得2万美金;若四支队伍A、B、C、D,其中,A、B、C采用相同漏洞,D采用不同漏洞,均成功破解了6万美金的一个赛题,则A、B、C首先和D均分奖金,D队获得3万美金,A、B、C三队均分另外一半奖金,即A、B、C分别获得1万美金。
6. 演示审核
在成功演示了漏洞利用之后,参赛者必须向组织者提供两样东西:描述漏洞利用中所有漏洞和技术信息的详细文档,以及演示中使用的完整漏洞利用视频。
漏洞和漏洞利用信息将向由目标供应商和组织者代表组成的评委团披露。他们通过检查演示的整个过程和审查参赛者提供的信息,以及重播漏洞利用视频,保留决定参赛者是否成功攻破目标的权利。
为了解决参赛者和评委之间的任何异议,一个由7位在这个业界享有盛誉的顾问组成技术监督委员会(在比赛前由主办方选出并公布),将要求进行匿名投票并做出最终决定。请注意,组织者将指派委员会的牵头顾问。
在审核之前,漏洞利用中使用的漏洞不能泄露给任何其他第三方(包括目标软件供应商和赞助商);否则,参赛者将无法得到奖励。
7. 漏洞报告与披露流程
组委会遵循负责任的漏洞披露,即漏洞发现者先报送漏洞,待厂商修复漏洞后,厂商再公告相关漏洞信息并发布补丁。赛前需明确漏洞报告给厂商,任何个人和组织不得在厂商发布该漏洞补丁前公开披露漏洞细节信息。比赛阶段,如厂商派人参与到技术裁判组,首先由现场裁判判定该项目演示成功,再由选手将该漏洞相关的文档信息(任何时候都不提供EXP)提交至内审裁判,由内审裁判使用比赛专用设备并加密将信息与厂商技术人员共享,要求厂商在接收漏洞后的指定周期内修复并提供漏洞补丁,在补丁发布后进行公开披露。
京公网安备 11010802033237号
