Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12925 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
BCTF新赛季首轮战毕:Blue-whale勇夺冠
本文来自公众号:百度安全应急响应中心   2020.07.03 17:53:15


6月29日,BCTF新赛季首场线上公开赛拉开帷幕,本场比赛采用公开报名制,共有60余支队伍注册报名。最终来自产学研多个领域的16支战队成功得分,经过12小时的“云”角逐,Blue-whale战队以1069分的战绩拿下冠军席位。


参赛战队得分趋势图


16支战队首次云竞技 全新赛制通过实战检验


BotCTF的赛制设计以自动化程序为中心,全程线上参赛。参赛战队通过主办方提供的统一接口参与答题。对于已通过BotHub托管的自动化程序, 在比赛期间由主办方代为运行参赛,不需要战队额外提供自己的运行环境。


本场比赛共设置15道赛题,包含5道PopCalc(AEG 自动化漏洞利用)和10道CrashMe (自动漏洞发现)赛题。PopCalc 赛题全部是栈溢出类型,赛题难度主要由gadget的限制决定,高分赛题对输入增加了约束条件。CrashMe赛题分别考察战队的漏洞发现工具对循环和状态机遍历的处理能力,以及在实际复杂程序中发现人为植入漏洞的能力。


Blue-whale是整场比赛唯一一支解出全部AEG赛题的战队。此次AEG赛题被全部解出,也进一步说明了战队的自动化漏洞利用能力已经发展地较为成熟。


护网先锋是累计解出两种类型赛题最多的战队。fcbot、DigApis等战队也表现优异,均排名前列。通过统计战队解题情况,我们发现不同战队之间的自动化能力分布并不集中,也意味着大家都有各自擅长的能力点。


参赛战队得分总排名


鼓励BotHub托管 促进社区交流


BotHub是一个自动化程序托管平台,可以理解为以bots为核心的GitHub,目的是为工具开发者提供实验场所,促进技术分享与交流。BotHub的目标是聚集代表行业领先水平的 bots,并成为衡量自动化能力的标准平台。


在本场比赛中,BCTF官网的BotHub页面,也单独展示了所有已托管bots的比赛排名。其中已托管的#whoami战队获得CrashMe赛题的累计最高分。


在后续的所有BotCTF比赛场次中,主办方会代为运行BotHub中所有已托管的自动化程序,并通过其累计战绩进行综合排名,此排名将作为bots战队自动化攻防的能力标签。


CrashMe赛题Top 10战队得分排名


PopCalc赛题Top 10战队得分排名


构建Bots训练场 自动化工具发展未来可期


长期以来,自动化程序一直是作为人类CTF选手的辅助工具发展和成长的,因此其能力相较于人类选手还是有很大差距的。BCTF推出的自动化系列赛事BotCTF,赛题设计围绕漏洞发现和漏洞利用中的核心难点,集中考察战队的自动化工具能力。


在今年的赛季中,我们将联合全球顶级CTF赛事,推出一场BotCTF 表演赛,以此促进全球自动化工具能力的推广和交流。同时,在常规赛中表现优异的战队也会受邀参加今年的全球表演赛。


我们希望以比赛为契机,聚集全球范围内领先的自动化程序,并逐步形成一套专门衡量bots的自动分析和利用生成能力的标尺,为推动全球自动化漏洞发现及应用能力的发展作出贡献。




百度安全应急响应中心


百度安全应急响应中心, 简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。 地址:https://bsrc.baidu.com

长按关注