2022年2月12日,由百度安全與清華大學聯合推出的BCTF · AutoPwn 2022全新賽季將正式開賽,首場賽事將聚焦「天梯」主題任務——Race Condition漏洞挖掘。本場賽事鼓勵選手自主研發Race漏洞挖掘工具,改進不限於Fuzzing在內的技術方案,提高Race漏洞的挖掘與分析能力。
開賽時間:GMT+8 2022-02-12 9:00 — 2022-02-13 9:00
測試時間:GMT+8 2022-01-15 9:00 — 2022-02-10 19:00
比賽官網:https://anquan.baidu.com/bctf
Race Condition漏洞是開發中經常遇到的問題,它存在於操作系統、數據庫、web等多個層面。例如,像著名的髒牛(Dirty Cow)漏洞就是Linux在處理copy-on-write(COW)時產生的競爭條件,攻擊者(黑客)通過利用Dirty Cow漏洞,不僅可以越權修改文件內容,甚至通過實現本地提權還能在非Root設備上完成對APP本地數據的任意修改,危害巨大。近年來,iOS也被披露多個可造成越獄的race漏洞。但是,不同於一般的內存破壞漏洞,Race 漏洞難以挖掘、復現、分析、利用,經典的代碼覆蓋率驅動的Fuzzing漏洞挖掘方案難以有效發現這種類型漏洞。
在本場Race Condition主題的賽題中,選手需要通過提交可觸發程序漏洞的輸入以及觸發漏洞時的線程交錯順序得分。在測試階段,我們提供了3道樣題(其中一道有答案)供選手測試,選手可通過Challenges Download URL下載樣題,在樣題包中,附有gdb復現器,可幫助選手驗證bug。
本場比賽,我們為積分榜前20名的參賽戰隊準備了百度網盤季度會員和能力證書,表現優異的戰隊更有機會參與科研共創。為了便於賽事交流,參賽選手可以加QQ群「BCTF交流群」(原微信群仍有效),與主辦方共話自動化攻防安全。
賽事交流群(QQ):855011656
聯繫郵箱:bctf@baidu.com
BCTF·AutoPwn 2022賽季即將啟程,新賽季發布若干「天梯」挑戰主題,每期比賽將聚焦於不同主題的自動漏洞挖掘與利用技術研究。誠邀相關研究人員與技術愛好者共同參與,通過挑戰「天梯」主題任務,分而治之任務,迭代突破技術,構建網絡安全領域AlphaGo。
END
閱讀原文,查看更多
留言列表