КОНКУРС «ПОИСК УЯЗВИМОСТЕЙ В ТЕХНИЧЕСКОМ РЕШЕНИИ ПО ЗАЩИЩЕННОМУ УДАЛЕННОМУ ДОСТУПУ К АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ ЗАКАЗА ПРОПУСКОВ»

Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на Конференции ZeroNights.

На время проведения конкурса по адресу https://aszp.0n.gaz-is.ru/ опубликована автоматизированная система заказа пропусков на базе нашего продукта «Блокхост-АСЗП» (ссылка на описание продукта: http://aszp.gaz-is.ru). В системе зарегистрирован пользователь с правом создания заявок на пропуска. Логин и пароль этого пользователя не раскрываются. Искать нужно любые уязвимости, эксплуатация которых позволит выполнять от имени пользователя действия в системе (например, создавать заявки на пропуска), либо нарушают конфиденциальность, целостность и доступность данных, хранящихся в системе (названия объектов доступа, пользовательские данные, справочники и т.д.).

Описание уязвимостей отправляйте письмом на адрес Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.. Желательно указать пошаговое описание действий для воспроизведения уязвимостей и приложить скриншоты. Запрещается эксплуатировать уязвимости, приводящие к неработоспособности системы. Отправляя письмо с описанием уязвимостей, вы автоматически становитесь участником конкурса.

Комиссия ООО «Газинформсервис» проанализирует все присланные уязвимости. 20 ноября 2012 года на конференции по информационной безопасности ZeroNights будет объявлен победитель. Комиссия будет принимать во внимание, как степень критичности найденных уязвимостей, так и время, которое ушло на их поиск.

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 4 месяца с момента подведения итогов конкурса.

Подробности участия в конкурсе изложены в Положении.

Update:

В условия конкурса внесены изменения, а именно:

  1. Для участия в конкурсе необходимо прислать запрос на адрес электронной почты Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.. В ответном письме будут высланы учетные данные пользователя для доступа в систему с правом создания заявок на пропуска (права на визирование/оформление заявок, просмотр отчетов и т.д. будут отсутствовать). У каждого участника будет свой логин/пароль.
  2. Обращаем внимание участников на то, что приложение оптимизировано для работы в MS Internet Explorer.

P.S. Нам стало известно, что на адрес Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. письма не доходили. Приносим свои извинения. Сейчас все работает.

P.P.S. С даты начала конкурса мы зафиксировали более 2 млн. обращений к системе. Спасибо всем участникам за проявленный интерес!