Оголошуємо відкриття постійно-діючого конкурсу з IT-Безпеки на порталі IT-Арена.
УМОВИ:
1. Предметом конкурсу є виявлення "дір", зон уражень у веб-додатках та лікування виявлених вразливостей.
2. Об'єктом конкурсу є перелік ресурсів які надали згоду на участь у конкурсі та перевірку своєї системи безпеки на нижченаведених умовах. На даний момент у конкурсі бере участь 1 ресурс, а саме IT-Арена.
www.it-arena.org
3. Результати виявлення уражень на інших ресурсах, окрім вказаних у пункті 2, у конкурсі не розглядається.
4. Щоб додати свій інтернет-ресурс до конкурсу, власники інтернет-ресурсу повинні надіслати запит на info@it-arena.org
5. Суддя конкурсу - Адміністратор порталу IT- Арена.
ПРАВИЛА КОНКУРСУ
1. Будь-які дії у контексті даного конкурсу не повинні призводити до порушення основного змагального процесу порталу. Якщо усе ж таки діяльність ресурсу була порушена, необхідно якомога швидше зв'язатися з Адміністрацією ресурсу та усіляко сприяти якомога швидшому відновленню роботоздатності.
2. Усі дії конкурсу з IT-безпеки проводити у вільний від змагань час. Під час змагань необхідно зберігати режим "тиші". Якщо необхідно перевірити зони потенційного ураження під час конкурсу - ні в якому разі такі дії не повинні спричинити до втрати або модифікації реальних проектів учасників конкурсу.
3. У процесі конкурсу учасник вільний використовувати усі свої знання та технології, окрім DDOS-атак.
4. Після виявлення ураження, учасник зобов’язаний зафіксувати його та відправити звіт з покроковою інструкцією Адміністратору на email( info@it-arena.org ). Адміністратор розглядає наданий звіт та, у випадку підтвердження «проблеми», класифікує його відповідно до рівня ураження. Після «лікування», Адміністратор, відповідно до рівня Ураження, нараховує бали учаснику та публікує його статтю.
5. Класифікація рівнів ураження веб-систем:
Ураження 1 рівня: отримання Адміністративного доступу, маніпуляції з файлами на сервері або отримання адмін-доступу до бази даних, тощо.
Винагорода:
20 IT-балів;
публікація статті учасника з описом ураження на порталі IT-Арена;
Ураження 2 рівня: маніпуляції з даними, які впливають на основний процесс проведення конкурсів ( отримання іще неопублікованих результатів або завдань конкурсів, модифікація оцінок суддів, маніпуляції з IT-балами, тощо). Винагорода:
10 IT-балів
публікація статті учасника з описом ураження на порталі IT-Арена;
Ураження 3 рівня: маніпуляція даними, що не впливають на основний процесс змагання (коментарі, статті, тощо). Винагорода
5 IT-балів
публікація статті учасника з описом ураження на порталі IT-Арена;
ЗАБОРОНЕНО
6. ЗАБОРОНЕНО проводити DDOS-атаки. Портал розміщений на сервері з іншими важливими сайтами і DDOS-атака може негативно вплинути на роботу сервера загалом.
7. ЗАБОРОНЕНО розголошувати виявлені "проблеми" до отримання підтвердження Адміністратора щодо їх виправлення.
8. ЗАБОРОНЕНО афішувати перемоги у будь-якому вигляді окрім публікації статті на порталі IT-Арена у вигляді статті.
9. ЗАБОРОНЕНО замовчувати виявлені ураження та будь-яке їх використання з корисними цілями (маніпуляції з IT-балами, призами, рейтингом тощо)
ВІДПОВІДАЛЬНІСТЬ
10. Порушення правил конкурсу або нехтування заборон трактується як навмисне учинення шкоди. У цьому випадку Адміністрація застосовує усі доступні ресурси та залучає компетентні та уповноважені органи для притягнення порушника до відповідальності у відповідності з чинним Карним Кодексом та Міжнародними конвенціями щодо забезпечення Інформаційної безпеки.
| № | Робота | 1 етап | ∑ | Статус | Технологія | IT-бали | ||
|---|---|---|---|---|---|---|---|---|
| Номінація IT-безпека, поза віковими категоріями | ||||||||
| 1 |
XSS через URL на порталі IT-Арена Загарія Олександр ( ) |
Ураження 1 рівня | XSS | 20 | ||||
