我们,就要这样的你!

凯文·米特尼克说“勇于挑战智力,就像攀登珠穆朗玛峰一样”
这样的人从不墨守陈规!也不遵循现状!他们桀骜不驯!

你可以赞扬或诋毁他们,但不可以轻视他们,你可以认为他们是疯子,但,我们认为他们是天才!
只有认为可以改变世界的人才可以改变世界!
打破链接,去改变充满未知和未见的万物互联世界。

向疯狂的人致敬!

HackPwn 万物皆可破
狂欢节破解秀规则

HackPwn关注的智能设备分为五大类,O2O业务、智能交通、智能娱乐、智能终端、智能生活。

  • O2O业务: • 安全漏洞征集规则
        目前针对互联网O2O业务征集安全漏洞,主要包括打车类、上门服务类、社区服务类,上网购物订餐类等业务。比如通过交通类软件,跟踪用户的活动轨迹,伪造司机身份批量抢单,导致业务瘫痪。通过漏洞篡改自动售卖机所卖食品的价格,批量刷单,恶意订购。利用手机应用漏洞,绕过指纹识别系统,强行付款,清光购物车等(买买买)。

  • 智能交通: • 评判标准
       绕过系统内置的用户验证机制。
       对车辆进行一定的改造或者添加某些部件改变车辆的功能。
       非物理接触改变设备原有功能控制车载系统(车机)。
       非物理接触改变设备原有功能的情况下通对车辆实施控制操作,如闪灯,鸣笛等。
    • 参考场景
       远程控制特斯拉的制动系统
       修改Connect Drive GPS对车辆的定位信息

  • 智能娱乐: • 评判标准
       绕过系统内置的用户验证机制。
       物理接触改变设备原有功能,或者增加设备原有设计中没有的功能
       非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能
       非物理接触的情况下远程控智能娱乐设备的最高权限root
    • 参考场景
       在XBoX上运行自制应用程序

  • 智能终端: • 评判标准
       绕过系统内置的用户验证机制。
       参考Pwn2own Mobile的竞技标准
       实现Android系统的Root和ioS系统的越狱
    • 参考场景
       实现智能手机在用户认为进行关机操作以后进行麦克风或者摄像头开启
       通过伪造指纹虹膜人脸等绕过生物验证识别机制
       绕过iCloud或应用市场的证书验证机制
       通过内置浏览器远程获取智能手机的敏感用户数据

  • 智能生活: • 评判标准
       突破系统内置的用户验证机制
       物理接触改变设备原有功能,或者增加设备原有设计中没有的功能。
       非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能
       非物理接触的情况下远程控智能娱乐设备的最高权限root
    • 参考场景
       温度传感器显示当前温度为99°
       远程任意控制智能开关。
       获取某品牌摄像头的root权限,命令执行

  • 1、智能交通、智能娱乐、智能终端、智能生活类涉及Pwn的目标设备,原则上仅限于设备厂商原生系统及应用。设备软硬件均为正式活动前30天最新版本,设备配置为缺省配置。

    2、参加活动所使用的技术手段须为自主实现,公开或者已知的Pwn技术手段不能作为本次活动的优胜标准,参赛选手在参赛前须向Hackpwn2016安全极客狂欢节组委会提交相关技术手段的详细说明。

    3、本次活动的标准和规则的最终解释权归活动组委会所有.

  • 1、Hackpwn2016安全极客狂欢节组委(以下称我们)认可参赛选手个人的安全技术能力,但不认为活动结果和参赛选手所属机构的安全技术能力存在对应关系。

    2、我们不认为活动结果能直接反映相关智能设备的安全性水平。

    3、我们严格保证对厂商负责任的信息披露。我们会配合参赛选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和参赛选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

    4、我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

参赛对象:欢迎热爱破解、特立独行、对智能硬件有高度热情的你,前来报名!

  • 我要报名
  • 我要推荐
  • 我要申请硬件
  • 如何报名

    1、这是一个开放式的报名:Hackpwn2016安全极客狂欢节从2016年5月11日正式接受选手报名。我们欢迎任何以个人名义报名的技术型选手来参与,没有其他任何限制(当然有犯罪前科或不符合主办方道德及价值取向的除外);

    2、报名So easy:需要在我们活动的页面点击报名按钮,就可进入本次活动的主办方补天漏洞响应平台的报名页面https://butian.360.cn/user/select,您可以用360账号直接登录,如果不是360的用户,还需要您注册。并按照网站提示进行漏洞的提交,个人信息部分请确保准确,以便于我们和您沟通以及活动后奖金的发放;

    3、等待初审:我们的组委会会在选手提交报名表后的5日内完成选手资格初审,期间可能会根据报名表中提供的联系方式与报名者多次沟通确认,以评定是否获得选手资格;

    4、确认以后:一旦选手资格确认,我们会设立和公布相关的活动项目,并在正式活动现场提供相应的设备和展示环境;

    5、完成注册:在确认获得HackPwn2016安全极客狂欢节正式活动选手资格后,报名者就可以耐心等待狂欢节的到来了。需要提醒的是,报名者参与活动的住宿和差旅费用还请自理;

  • 我们欢迎你来告诉我们“什么样的人怎样Pwn掉了何种设备”,并把那个极客推荐给Hackpwn2016安全极客狂欢节活动。如果被推荐的极客能够成功的在活动中展示并最终能够参加到11月份的终极决赛中并获得奖金,你也可以得到组委的丰厚奖励(奖金为选手奖金的10%)。

  • Q:如何申请免费的智能硬件设备?

    A:只需发送申请邮件到: liujianhao@360.cn ,在邮件正文中注明你想申请破解的智能硬件名称,并简要说明设想的破解思路及方法,如果破解方法和思路被认可,会收到HackPwn活动组寄出的智能硬件设备。

    Q:申请成功后,规定的破解时限是几天?

    A:智能硬件设备寄出后,有规定的破解期限,从设备签收日开始计算,共计15天,如未完成设备需收回。破解期限内,HackPwn活动组会定期电话询问破解进度,反馈信息,如遇破解难度较大的特殊情况,会适当调整时间。

    Q:成功破解智能硬件后,如何提报漏洞?

    A:发现智能硬件漏洞后,进入HackPwn活动官网:hackpwn.360.cn点击“我要报名”,进行漏洞提报,根据漏洞的严重程度,提报者有机会获得破解的智能硬件并获得活动奖金,单项奖金最高可达60万人民币。

参与赛事360安全路由器挑战赛
参赛奖金:总奖金60万人民币,单项奖金最高可达10万人民币

1、挑战赛赛分为打擂方和守擂方,守擂方为360信息安全部门,打擂方为赛事报名选手(以下简称选手),最终胜负由评委会(即360安全应急响应中心)裁定。

2、即日起至8.5日为线下挑战时间,选手可以对此时间段内的360 P1路由器存在的最新版本,从硬件、ROM、APP、网络处理、前端接口、后台接口进行黑客攻击尝试。

3、8月6日360P1路由器会公开更新版本,届时赛事官网会更新相关版本信息作为攻防双方最终挑战版本,如选手发现线下挑战时间(7月4日-8月5日)发现的漏洞仍然可用,可以在360安全应急响应中心平台提交漏洞细节(可以采用技术图文、录像描述的方式),提交截止时间为8月10日,经评委会评估确认后邀请选手到Hackpwn进行现场颁奖

4、当挑战赛存在多个获胜者时,评委会将评判具体技术方法是否相同,相同方法的第一个选手为获胜者获得奖金,其余选手不能获得奖金。不同方法的都为获胜者,根据漏洞等级分配奖金。如出现争议,由评委会做出最终裁决。

5、评委会根据选手项目的思路新颖程度、技术难度和实现结果的影响等因素提供额外的奖励。此外评委会可以根据选手项目的思路新颖程度、技术难度和实现结果的影响制定相应评判标准。

6、参加本挑战赛所使用的技术手段须为自主实现,公开或者已知的Pwn技术手段不能作为本次活动的优胜标准,选手在攻击过程中使用的漏洞和利用方法必须满足:

    原创性(即漏洞和攻击代码为自己发现)

    攻击过程可从远程发起(例如:用户点击链接打开浏览器执行远程页面代码、远程发送数据包完成对设备的攻击等 )

7、本次活动评判标准和规则的最终解释权归活动评委会所有。

1、这是一个开放式的报名:Hackpwn2016安全极客狂欢节之“360路由器攻防挑战赛”从2016年7月4日正式接受选手报名,8月5日线下挑战时间即为报名截止时间。

2、报名方式:通过本活动页面点击我要报名,通过360SRC报名页面https://security.360.cn注册报名,填写个人相关信息及技术背景描述、联系方式等,个人信息部分请确保准确,以便于我们和您沟通以及活动后奖金的发放;技术背景描述部分请选手填写尽可能详细,会影响到申请免费破解设备的资格审核。

3、初审:我们的组委会会在选手提交报名表后的3日内完成选手资格初审,期间可能会根据报名表中提供的联系方式与报名者多次沟通确认,以评定是否获得选手资格;

4、确认以后:一旦选手资格确认,360安全应急响应中心会再次联系您确认您的参赛资格并完成注册;

我要报名

Q:如何申请免费的360安全路由器设备?

A:组委会会根据选手提交的个人信息技术背景描述,免费提供50台路由器,如未在报名时段报名或未被选中者,可以自行购买破解,最终如发现漏洞并提交报名平台,将为选手报销360路由器硬件费用

Q:申请成功后,规定的破解时限是几天?

A:智能硬件设备寄出后,线下挑战时间(7月4日-8月5日)及漏洞提交时间(8月6日-8月10日),均为破解时间,组会定期电话询问破解进度,反馈信息。

Q:成功破解360安全路由器后,如何提报漏洞?

A:发现360安全路由器漏洞后,在8月10日前,进入挑战赛活动官网: http://security.360.cn 点击“提交漏洞”,进行漏洞提报,我们会对漏洞进行评估并给予漏洞报告者相关奖励。

Q:360安全路由器挑战赛后如发现安全问题如何提交?

A:360安全路由器挑战赛为专项活动,正常单项最高奖金高达10万元,欢迎选手踊跃报名参加。在360安全路由器挑战赛(7月4日-8月16日)后,如发现360路由器相关漏洞可通过360SRC提交,确认后按SRC标准发放奖金。

本次“挑战赛”主要征集以下漏洞(其它漏洞选手可以自行选择提交到“360安全应急响应中心”按通用奖励策略进行):

1、选手在互联网中直接远程访问路由器的WAN口,且在没有路由器使用权和管理权的场景下,通过远程发送数据包的方式成功获取路由器系统的root权限,最高奖励10万人民币

2、选手在路由器LAN侧(连接上路由器LAN口或连接到路由器无线热点),且没有路由器管理权的场景下,通过远程发送数据包的方式成功获取路由器系统的root权限,最高奖励5万人民币;

3、选手在互联网中直接远程访问路由器的WAN口,且在没有路由器相关管理权的场景下,通过远程发送数据包的方式导致路由器出现拒绝服务、危害内网的行为(仅限于路由器自身漏洞,暴力破解、通用的协议漏洞和局域网接入设备的漏洞不在此列表),最高奖励5万人民币;

4、选手在路由器LAN侧(连接上路由器LAN口或连接到路由器无线热点),且没有路由器管理权的场景下,通过远程发送数据包的方式导致路由器出现拒绝服务、危害内网的行为(仅限于路由器自身漏洞,暴力破解、通用的协议漏洞和局域网接入设备的漏洞不在此列表),最高奖励3万人民币;

在奖励原则上评委会主要依据选手使用的漏洞技术的可实施性、是否需要更改路由器默认配置、利用难度、提交的细节完成度、利用代码等来行相应的奖励评估。

主办方
协办方










技术支持

合作厂商
合作媒体

© 2016 LAB 360 SV All Rights Reserved. 408.524.1400