360安全应急响应中心携手Hackpwn共同举办“360安全路由器挑战赛”。攻防挑战赛时间:2016年7月4日 - 2016年8月5日,选手挑战成功将在8月16日HACKPWN大会获得高额奖金并现场颁奖。欢迎任何个人或团队报名参加。
活动名称:360安全路由器挑战赛(2016.7.4-2016.8.5)
挑战版本:360POP-P1-V1.0.43.42968.bin
挑战赛ROM下载链接:http://bbs.360.cn/forum.php?mod=viewthread&tid=14265177
挑战人员:
分为打擂方和守擂方,守擂方为360信息安全部门,打擂方为赛事报名选手(以下简称选手),最终胜负由评委会(即360安全应急响应中心)裁定。
挑战时间:
7月4日-8月5日,选手可以对此时间段内的360 P1路由器存在的最新版本,从硬件、ROM、APP、网络处理、前端接口、后台接口进行黑客攻击尝试。8月6日360P1路由器会公开更新版本,届时赛事官网会更新相关版本信息作为攻防双方最终挑战版本。
挑战裁定:
如选手发现线下挑战时间(7月4日-8月5日)发现的漏洞在最终挑战版本仍然可用,可以在360安全应急响应中心平台提交漏洞细节(可以采用技术图文、录像描述的方式),提交截止时间为8月10日,由评委会确认挑战是否完成
挑战颁奖:
经评委会评估确认如选手挑战成功,将邀请选手到Hackpwn进行现场颁奖,如未有选手挑战成功,Hackpwn将宣布守擂方获胜。
1、选手在互联网中直接远程访问路由器的WAN口,且在没有路由器使用权和管理权的场景下,通过远程发送数据包的方式成功获取路由器系统的root权限, 最高奖励10万人民币;
2、选手在路由器LAN侧(连接上路由器LAN口或连接到路由器无线热点),且没有路由器管理权的场景下,通过远程发送数据包的方式成功获取路由器系统的root权限, 最高奖励5万人民币;
3、选手在互联网中直接远程访问路由器的WAN口,且在没有路由器相关管理权的场景下,通过远程发送数据包的方式导致路由器出现拒绝服务、危害内网的行为(仅限于路由器自身漏洞,暴力破解、通用的协议漏洞和局域网接入设备的漏洞不在此列表), 最高奖励5万人民币;
4、选手在路由器LAN侧(连接上路由器LAN口或连接到路由器无线热点),且没有路由器管理权的场景下,通过远程发送数据包的方式导致路由器出现拒绝服务、危害内网的行为(仅限于路由器自身漏洞,暴力破解、通用的协议漏洞和局域网接入设备的漏洞不在此列表), 最高奖励3万人民币;
在奖励原则上评委会主要依据选手使用的漏洞技术的可实施性、是否需要更改路由器默认配置、利用难度、提交的细节完成度、利用代码等来行相应的奖励评估。