前言

本届主题是“见招拆招”,旨在汇聚安全行业的精英,为更多的网络安全从业人员及爱好者提供技术交流和学习平台,鼓励那些专注求解、见招拆招的“极客”,也让大家更好的了解网络安全重大的意义,共建网络安全。

你是否想要个一展拳脚的机会,和全国高手对决?

你是否想体验作为一名极客,去攻占网络世界?

你是否想赢得丰厚奖金,肆意挥霍你的任性?

【见招拆招】百度安全SQL 注入绕过挑战赛-安全盒子

如果你相信自己的实力,就来参加挑战吧!

 赛事介绍

SQL注入攻击(SQL Injection),被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞,可能导致数据被窃取、更改、删除,以及进一步产生网站被嵌入恶意代码、被植入后门程序等危害。同时,SQL注入攻击也是入侵防御和检测系统重点关注的攻击类型。

【见招拆招】百度安全SQL 注入绕过挑战赛-安全盒子

 比赛时间

2017年4月28日12:00 至 2017年5月1日 24:00

 参赛步骤

第一步:注册

访问http://bsrc.baidu.com ,注册成为BSRC用户,并完善个人信息(如果已注册可以直接跳过此步骤)。

第二步:开始挑战

存在注入点的URL

http://sqlitest.anquanbao.com.cn/api/query?art_id=1

 判定标准

通过sql注入读到mysql系统信息(user,version)或数据库名。

通过sql注入读到表内的 secret 数据。

 提交方式

 srcgame@baidu.com 提交完整的可用的绕过payload以及读取的数据。

标题:sql注入绕过挑战赛case提交

正文中请注明在 BSRC的 id。

 奖励机制

二档:读到mysql系统信息(user,version)或数据库名 100元京东卡

一档:通过sql注入读到表内的 secret 数据 1000元京东卡

(一种绕过方法只计一次最高档成绩,可提交多种方法,奖金可累积;使用相同绕过方法的首个提交者得分,其他提交者不得分)

 奖金发放

比赛结束后一周内我们会公布获奖选手名单。为了能顺利拿到奖金,提交邮件时请一定使用BSRC用户昵称。

 特别说明

  1. 禁止DDOS攻击和 CC攻击。
  2. 禁止恶意破坏靶场环境。
  3. 禁止对业务造成稳定性、可用性等受损。
  4. 避免以社工方式渗透网络,聚焦分析业务的技术层面脆弱性。
  5. 百度在职员工不参与本次比赛。

 

本次活动最终解释权归百度所有,对于恶意违反上述规定的人员,百度会依据实际情况采取不同力度的处罚措施,且有权追究其法律责任。