持安首次零信任实战攻防对抗赛

作为一个SRC领域的新人，我们非常感谢各位安全专家与白帽大神们对我们的支持，这更坚定了我们要把事情搞起来的决心！

持安科技是零信任安全领域的创业公司，我们致力于为企业提供高效无侵入的安全办公方式，团队始终将安全一定放在第一位！所以我们决定下猛料！搞事情！

为防护规则的实战攻防对抗赛
今日正式开启！
百万元悬赏池！等你来战！
邀您速来参加！

01简要介绍本次活动
 
本次活动是持安SRC开门成立后的首次活动，活动期间，我们准备了零信任CTF靶场，供白帽子们攻击。我们希望以开放的心态，让持安零信任产品接受众多白帽师傅们的考验，从而在漏洞可能产生威胁之前，更早、更快的发现与解决我们的产品可能存在的问题。

在未来持安SRC持续运营中，随着公司与产品的发展，持安SRC会不定期举办多种类型的悬赏活动，诚邀业内专家、大佬们对持安零信任产品进行持续的考验与监督。

在活动奖励方面，为了回馈帮助我们的产品发现问题的同路人，我们决不吝啬。首轮活动，我们就真金白银的发放出百万元的赏金池。师傅们，燥起来吧！
 
02概述零信任及其防护理念
 
零信任在2010年的时候Forrester分析师提出，之后云安全联盟的SDP模型，以及Google 的BeyondCorp的出现。2015年完美世界开始落地实施零信任，ISC2018之后，零信任理念在国内迅速传播。

持安科技致力于为企业提供高效无侵入的安全办公方式，团队拥有20年甲方安全经验，7年持续的零信任落地经验，拥有完整的零信任规划、实施、运营、评估能力。
 
持安零信任产品遵循持续验证，永不信任的零信任理念，核心思想是建立基于用户、设备、应用的信任链，通过“先认证，再访问”原则与动态的安全评估策略，实现从端到应用的全链路安全防护。
 
此外，我们认为，零信任不仅仅是安全产品，更是一套基础平台，可以让企业网络扁平化，数据可见可感，在提升企业的效率的同时大幅增强企业安全防护能力，以持续运营的方式动态提升整体安全能力。

※ 本次对抗赛使用的靶场系统，即是受到以下零信任架构保护的域名。
 
 
03零信任CTF靶场是如何设置的？
 
持安科技团队搭建了一个含有RCE漏洞的Gitlab应用作为零信任靶标系统，系统内模拟零信任的访问环境，基于零信任的信任评估机制，对每次访问实行基于身份的动态、细粒度访问控制。
 
04靶标系统在哪里？
 
本次活动的靶标系统包含以下三个域名

chiansso.chiansec.com
chianztp.chiansec.com
chiangitlab.chiansec.com

   
05活动时间是？
 
本次活动的时间范围是：2022年5月27日-2022年6月15日。

白帽师傅们现在就可以开始挖洞了！
 
06如何参与本次活动？
 
注册网址：https://src.chiansec.com/
 
07奖励怎么设置？
 
持安SRC为首次零信任实战攻防对抗赛，准备了百元万的赏金池，针对平时中危、高危和严重等级的漏洞奖励范围进行金额翻倍奖励，漏洞奖金范围：800-20000元人民币 。



08漏洞等级的界定方式是什么？
 
本次活动的规范、漏洞提交与处理细则，请在持安SRC官网（https://src.chiansec.com/）-公告栏，下载《持安科技安全应急响应中心 漏洞处理流程与奖励说明 v1.0》查看。
 
09什么样的算有效漏洞？
 
首先，提交的漏洞是靶标系统中三个域名内的漏洞。

此外，需记录详细攻击步骤，并将漏洞复现过程和漏洞详情（须包含复现截图和具体POC/EXP）提交至持安科技安全应急响应中心。提交时漏洞标题须加上持安科技本次活动专属标签【持安SRC攻防对抗赛】。
 
10奖励怎么发放？需要多长时间？
 
A.持安SRC运营对所有参与人员提交的漏洞审核通过后将记录在案，活动结束后统一发放奖励.

B.所有报告上交成功后，1个工作日内给出审核结果（漏洞无法确认情况除外）。若有无法确认情况（如条件不明无法复现），需要咨询漏洞提交者，运营通过微信或电话、短信等方式告知，提交者可及时通过官方邮箱或微信联系。活动截止时，运营仍然无法联系到的提交者，所提交的无法确认的漏洞报告将直接进行忽略处理。