Real-time Bitrix WAF Hack

Компании «1С-Битрикс» и Positive Technologies предлагают участникам фестиваля CC9 и всем желающим обойти проактивную защиту специально созданного сайта, работающего на платформе «1С-Битрикс: Управление сайтом», с включенным фильтром Web Application Firewall (WAF)* и побороться за призы и подарки.

Конкурс проводится параллельно с фестивалем 29 и 30 августа 2009 года. Конкурс начнется 29 августа в 12:00 и завершится 30 августа в 16:00.

Главный приз в конкурсе – коммуникатор. Дополнительные призы - программный продукт «1С-Битрикс: Управление сайтом» (редакции «Стандарт» и «Старт»).

Победители конкурса будут объявлены в 16:45 30 августа на фестивале СС9. Оценивать результаты будет группа экспертов по веб-безопасности компаний Positive Technologies и «1С-Битрикс».

* Проактивная защита в системе управления веб-проектами «1С-Битрикс: Управление сайтом» – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности. Один из механизмов, WAF - проактивный фильтр, который обеспечивает защиту от большинства известных атак на веб-приложения. Компания Positive Technologies выполняла тестирование WAF «1С-Битрикс: Управление сайтом» и подтвердило его соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium.

Правила участия в конкурсе

В конкурсе можно принять участие с 12:00 29 августа до 16:00 30 августа 2009 года.

Участвовать в конкурсе могут все желающие.

Участникам конкурса необходимо обнаружить и обойти следующие уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal и Local File Including, а затем отправить организаторам конкурса информацию о своей успешной попытке взлома с помощью веб-формы: http://bitrix-resultform.cc.org.ru/.

Результаты принимаются до 16:00 30 августа.

Адрес сайта для взлома (доступ к сайту будет открыт 29 августа в 12:00):
http://bitrix.cc.org.ru

Победителей конкурса определят эксперты компаний Positive Technologies и «1С-Битрикс». Критерии успешности эксплуатации уязвимостей опубликованы на сайте bitrix.cc.org.ru. При определении победителей отдельно будут учитываться:

• Скорость – дополнительный шанс на победу получит тот, кто самым первым сможет воспользоваться одной из уязвимостей;
• Оригинальность – нестандартный и интересный вариант эксплуатации уязвимостей;
• Объем – количество предложенных вариантов взлома, как по одной уязвимости, так и по всем уязвимостям.

Внимание!

В случае организации DOS-атаки на сервера мы оставляем за собой право ограничить доступ к уязвимому серверу и серверу с веб-формой только с IP-адресов фестиваля.

Тот, кто попытается воспользоваться обнаруженными уязвимостями для вывода из строя сервера, а также для изменения информации на нем, получения данных о других участниках, будет дисквалифицирован.

На уязвимом сервере не хранятся данные о других участниках.

При заполнении веб-формы указывайте точно свои контактные данные! Эта информация необходима для вручения приза, если вы станете победителем конкурса.