2022年2月12日,由百度安全与清华大学联合推出的BCTF · AutoPwn 2022全新赛季将正式开赛,首场赛事将聚焦“天梯”主题任务——Race Condition漏洞挖掘。本场赛事鼓励选手自主研发Race漏洞挖掘工具,改进不限于Fuzzing在内的技术方案,提高Race漏洞的挖掘与分析能力。
开赛时间:GMT+8 2022-02-12 9:00 — 2022-02-13 9:00
测试时间:GMT+8 2022-01-15 9:00 — 2022-02-10 19:00
比赛官网: https://anquan.baidu.com/bctf
Race Condition漏洞是开发中经常遇到的问题,它存在于操作系统、数据库、web等多个层面。例如,像著名的脏牛(Dirty Cow)漏洞就是Linux在处理copy-on-write(COW)时产生的竞争条件,攻击者(黑客)通过利用Dirty Cow漏洞,不仅可以越权修改文件内容,甚至通过实现本地提权还能在非Root设备上完成对APP本地数据的任意修改,危害巨大。近年来,iOS也被披露多个可造成越狱的race漏洞。但是,不同于一般的内存破坏漏洞,Race 漏洞难以挖掘、复现、分析、利用,经典的代码覆盖率驱动的Fuzzing漏洞挖掘方案难以有效发现这种类型漏洞。
在本场Race Condition主题的赛题中,选手需要通过提交可触发程序漏洞的输入以及触发漏洞时的线程交错顺序得分。在测试阶段,我们提供了3道样题(其中一道有答案)供选手测试,选手可通过Challenges Download URL下载样题,在样题包中,附有gdb复现器,可帮助选手验证bug。
本场比赛,我们为积分榜前20名的参赛战队准备了百度网盘季度会员和能力证书,表现优异的战队更有机会参与科研共创。为了便于赛事交流,参赛选手可以加QQ群“BCTF交流群”(原微信群仍有效),与主办方共话自动化攻防安全。
赛事交流群(QQ):855011656
联系邮箱:[email protected]
BCTF·AutoPwn 2022赛季即将启程,新赛季发布若干“天梯”挑战主题,每期比赛将聚焦于不同主题的自动漏洞挖掘与利用技术研究。诚邀相关研究人员与技术爱好者共同参与,通过挑战“天梯”主题任务,分而治之任务,迭代突破技术,构建网络安全领域AlphaGo。
往期介绍:
BCTF全新赛季|AutoPwn“天梯”挑战2月12正式启航
原文始发于微信公众号(百度安全):BCTF · AutoPwn首战在即,Race Condition 赛题前探