计算机外设及信创产品网络安全众测竞赛

发布时间:2021-09-16 14:23 / 访问量:3155

       国家互联网应急中心(CNCERT/CC)将于2021年9月17日举办计算机外设及信创产品网络安全众测竞赛,对部分国内多家打印机及信创产品产品进行安全测试。此次竞赛依托网络安全众测平台开展,面向所有在平台合法注册的测试人员。竞赛提供真实的打印机外设产品测试环境,全方面检验参赛外设产品的安全性和参赛人员的技术能力。竞赛具体信息如下:

一、 测试对象

       本次竞赛拟组织多家计算机外设和信创等企业提供打印机及信创产品进行测试,具体的设备情况如下:

序号
厂商名称 产品类型 名称 型号
1
华为技术有限公司武汉研究所 打印机 打印机 CV81Z-LDM
/
/
PC PC机

W525UOS

W515UOS

W515KOS

擎云L410

擎云L420
2
北京高德品创科技有限公司
A4黑白激光单功能打印机 联想A4黑白激光单功能打印机G263DNS G263DNS
--
--
A5黑白激光多功能打印机 联想A4黑白激光单功能打印机M7365DNA M7365DNA
3
北京嘉华龙马科技有限公司 打印机 安普印打印机 SFL-1035DN
4
天津光电通信技术有限公司 打印机 专用黑白激光打印机 OEP3014DN
5
珠海奔图电子有限公司 打印机 黑白激光多功能一体机 M7105DN-S
/
/
打印机 黑白单功能打印机 P3305DN-S
/
/
打印机 彩色单功能打印机 CP5059DN
6
北京立思辰计算机技术有限公司 打印机 安全增强型打印机 SP1800
7
中矗集团有限公司 打印机
打印机
ZC-P5700DN
8
深圳市华域数安科技有限公司 安全产品
上网行为管理系统
/
9
龙芯中科技术股份有限公司 CPU
CPU

2.3DT20210809

/
/
/
CPU 2.3DT20210820
10
联想开天科技有限公司 PC
PC机
联想开天M530Z
/
/
PC
PC机 联想开天M730Z
11
深信服科技股份有限公司
安全产品
下一代防火墙
NGAF产品


安全产品 零信任 aTrust产品

二、 竞赛规则

       本次竞赛为期两周,通过网络安全众测平台开展工作,参加竞赛的产品企业在网络安全众测平台发布项目。参加竞赛的测试人员通过网络安全众测平台进行现场、远程测试,并通过众测平台提交漏洞,由众测竞赛技术委员会评判漏洞价值,给予测试人员比赛积分。

       本次竞赛奖金费用50万。拟设立计算机外设产品的漏洞奖励标准(详见附件1),赛后根据参赛者所发现的漏洞等级兑换奖励资金,同时积分排名靠前的参赛者还将单独设立奖项,并颁发奖励证书。

       相同漏洞,以初次提交该漏洞的测试人员为准,请发现漏洞及时提交以便确认成绩。

       比赛测试过程全程审计,如果发现参赛者有恶意攻击行为,将取消参赛者的比赛资格,已获得的积分清零。

三、 参赛方式

       本次竞赛面向平台所有合法注册的测试人员,请有意参加竞赛的人员及时报名相关测试项目。尚未申请注册平台测试人员的,及时联系平台运营人员获取注册邀请码,联系方式见平台帮助页面。

四、 赛程安排

       报名时间:9月16日至9月17日。

       报名方式:通过网络安全众测平台报名相关项目参与。

       测试时间:9月17日至9月30日。


附件1

计算机外设产品漏洞奖励标准

      计算机外设及信创产品的漏洞奖励分为4个等级,分别为严重、高危、中危和低危,具体标准如下:


漏洞等级 漏洞定级标准 奖金标准(元)
严重 无需登录,直接获取打印机控制权限,包括但不限于:
1)任意代码执行;
2)系统客户端缓冲区溢出;
3)命令执行类漏洞。
20000
高危 攻击者登录后可获得打印机控制权限,执行系统命令,任意读取、下载打印机服务器文件等。
1.获取系统权限的漏洞,包括但不限于:
1)任意代码执行;
2)系统客户端缓冲区溢出;
3)命令执行类漏洞。
2.导致打印机拒绝服务的漏洞,包括但不限于:
1)直接导致打印机拒绝服务的漏洞;
3.严重敏感信息泄漏,包括但不限于:
1)可获取大量用户的身份信息等;
3)可获取大量文件信息。
4.包含敏感信息的非授权访问,包括但不限于:
1)绕过认证直接访问管理后台;
2)弱密码;
3)直接获取内网敏感信息SSRF。
5000
中危 比较普通的信息泄露漏洞,包含敏感信息文件泄露;任意文件操作漏洞;越权访问;认证绕过;CSRF;存储型XSS等。
1.需交互方可影响用户的漏洞,包括但不仅限于:
1)存储型 XSS。
2.普通越权操作,包括但不限于:
1)越权操作打印机。
3.普通信息泄漏,包括但不限于:
1)业务资料泄露等。
4.普通的逻辑设计缺陷和流程缺陷,包括但不限于:
1)暴力破解账号密码;
2)绕过验证码等。
1000
低危 普通逻辑漏洞;普通信息泄露漏洞包括但不限于路径信息泄露、配置信息泄露等;需交互才能获取用户身份信息的漏洞,包括但不限于反射型XSS。
1.轻微信息泄漏,包括但不限于:
1)路径信息泄漏;
2)异常信息泄露;
3)配置信息泄露等。
2.其他只能造成轻微影响的漏洞,包含但不限于:
1)反射型 XSS(包括反射型 DOM-XSS);
2)普通 CSRF;
3.轻微影响的越权漏洞,包括但不限于:
1)越权访问打印机信息;
200

推荐项目

更多