自2017年,360SRC开始举办48小时黑客马拉松漏洞挖掘大赛.我们曾走过温润如玉的福州,也去过热情似火的成都,还在ISC进行了马拉松的特别活动,至今已圆满完成四届!在这个过程中,我们见证了很多少年黑客的成长。今年,我们将在十二朝古都西安再次集结白帽黑客,亮剑长安!
往期精彩回顾:https://security.360.cn/News/news/id/185.html
一、 比赛地点
陕西·西安
二、 比赛时间
2019年11月29日-12月1日
三、 活动形式
参赛者需要48小时连续不中断地对特定IoT产品进行漏洞挖掘,奖励金额在日常奖励的基础上提高1,000-50,000不等,最高单个漏洞可达36万元。在48小时内,主办方将提供食品饮料、酒店标间、破解设备。比赛结束后,根据漏洞挖掘数量和质量进行额外奖励。
四、 奖励规则
1.基础奖励:奖励评估依据https://security.360.cn/Reward/reward
2.额外奖励:积分排名前三且符合奖励规则的战队可获得排名奖励。
1)积分奖励:比赛以漏洞数量和类型计分并排名,web端、移动端有效漏洞发放基础奖励;IoT端有效漏洞发放额外现金奖励。(组合型漏洞奖励标准遵从IoT漏洞):
2)排名奖励:排名靠前且符合奖励规则的战队可获得奖励。
a.前三名战队将受邀参加2020年ISC大会及“靠谱黑客”音乐节暨2019-2020年度360SRC颁奖典礼
b.其他奖励:
五、比赛题目
六、比赛战报
各位亲爱的白帽同学,经过48小时的激烈角逐以及为期一周的漏洞评审,本次360SRC 48小时黑客马拉松-IoT破解大奖赛终于在西安落下了帷幕。我们特将比赛战报公布如下:
七、答疑
在公布比赛结果 后,我们也要在这里针对大家关注的几个问题作出解答。
我们的漏洞响应流程如下:
收到报告—审核测试复现—同步给业务同事测试复现—确认是否有效以及影响范围—确认漏洞奖励—与提交者沟通结果—如有补充信息则重复以上流程—赛后漏洞汇总复审—评审结束。
固件端漏洞评审相较于web端、移动端的漏洞评审则会花费更长的时间,这一点在漏洞挖掘的难度上也同样有所体现,感谢大家的耐心,久等啦~
西安站的前三名奖励远高于往届赛事,对于领奖条件也有更高的要求。由于本次比赛中没有中危以上漏洞出现,因此并无战队满足前三名奖励条件。
不过本次比赛依旧精彩纷呈,感谢各位努力又优秀的战队选手!
在这里要首先和漏洞被降级的战队道一声抱歉,我们在复查的过程中发现该漏洞不符合中危漏洞危害,为了比赛的公平性,最终决定以公开的漏洞评审标准为依据,将漏洞作降级处理。但由于沟通的不及时,我们未能和同学们尽早同步这一个问题,让大家产生失望和误解,十分抱歉,同时也感谢你们后来的谅解与包涵。
比赛结束了,感谢各位选手的支持与鼓励,也感谢各位白帽的“吐槽”与建议,单个漏洞最高奖励36万人民币的标准依然有效,欢迎大家发现漏洞后前来提交。
*在法律许可范围内,360安全应急响应中心对本次活动拥有解释权与修改权。
360安全应急响应中心的奖励方案详情:
http://security.360.cn/News/news/id/22.html
360安全应急响应中心
微博:@360安全应急响应中心
微信:360安全应急响应中心