#XP挑战赛# FAQ

心碎乌托邦

有些人不明白为什么非要用无补丁的xp sp3,还有QQ管家微博说的有没有通知厂商,这边都是有解释的.纯搬http://www.erangelab.com/ 这边的FAQ

问：什么是XP挑战平台，其目的是什么
答：XP挑战平台是湖南合天智汇信息技术有限公司在我公司的大规模在线开放实验平台（MOOE）基础上建设的，一个面向社会、面向各个安全厂商，公平、公正、公开的公益性挑战平台，主要是针对各个安全厂商在微软宣布在4月8日停止对XP操作系统升级后，推出的各种XP系统加固软件进行挑战与实战检验。我们希望达到如下两个目的：
1.通过有组织有计划的民间打垒活动，增强我国现有XP用户的安全感，消除微软终止XP升级事件的民间恐慌情绪;
2.通过有组织有计划的民间打垒活动，对XP尚未发现的系统漏洞进行挖掘与通告，进一步增强各安全厂商产品针对XP的安全加固能力。

问：为什么要进行XP挑战赛
答：最初萌生这个想法，起因是很多客户向我们咨询，“微软停止XP服务支持了，XP还安全吗”？坦率地说，尽管国内外包括RSA上很多安全公司宣布推出XP安全解决方案。但实际效果如何，绝大多数XP用户并不知道，也没有能力验证。于是我们想，能不能摆一个公开的擂台，让这些XP防护产品接受真刀实枪的考验。当然，这也是我们公司MOOE理念承担大规模网络攻防战的最佳机会，我们会尽力为挑战者创造可以大显身手的比赛环境。

问：有哪些安全加固软件在大比拼
答：我们出于平台资源、奖金总额等方面的考虑，在第一季的XP挑战赛中选择了三款国内网民比较常用、且都号称能够对XP系统进行安全加固的安全软件，分别是：360XP盾甲、金山毒霸XP防护盾、腾讯电脑管家XP专版。
我们还会陆续推出第二季、第三季，后续将囊括包括百度安全卫士、北信源金甲防线等国内知名的安全厂商产品，敬请各位摩拳擦掌、拭目以待！

问：为什么使用无补丁XP SP3 + IE8作为靶标
答：我们出发点：如果连已知漏洞都无法防御，凭什么防未知漏洞？从SP3版本发布后，XP并没有引入新的安全机制。2014年发现的漏洞，也可能早在2008年就已经出现了，区别只是发现时间的早晚而已，已知漏洞和未知漏洞对安全产品防护能力的考验并没有本质区别。
同时，据CNZZ统计，2014年2月，XP在中国网民中使用率为 59.56%，而在浏览器使用上，IE8以15.4%使用率居所有IE版本之首。

问：你们开展XP挑战赛有何商业目的吗
答：XP挑战赛是基于我公司大规模在线开放实验平台（MOOE）产品，该平台是一个在线、开放、稳定、可靠的实验平台，能够提供大规模的网络安全方面的培训与实战演练。
基于商业目的，你明白的，呵呵。

问：你们在开展XP挑战赛之前与这些厂商有过接触吗
答：我们并没有与任何安全厂商有过接触，除了在他们的官网下载最新的安全加固产品。
XP挑战赛是参考国外Pwn2Own黑客大赛的模式，完全从第三方的角度，为广大安全爱好者、从业者、小黑、小白提供一个公平、公正、公开的实战环境。
我们不会对任何一款安全加固产品进行评价、打分或者排名，人民群众的眼睛是雪亮的，我们希望通过广大挑战者猛烈炮火的攻击，帮助厂商拿出像样的产品，给XP用户真正安全的保护。

问：我能参加吗，如何报名
答：我们欢迎任何单位和个人加入我们的XP挑战赛，我们希望更加猛烈的炮火，更加渴望各位隐藏在黑夜里的传说大牛，向XP开炮！
具体报名请访问官方网站http://xp.erangelab.com，或者关注官方微博@合天智汇。

问：关于XP挑战平台的报名审核
答：原则上，XP挑战平台接受任何一个报名者参赛。但是，如果报名人数超过了物理资源的承受能力，就会选择通过网络安全知识测试的人员参与挑战，对此深感抱歉！ 敬请各位在报名的时候填写正确的电话号码，以便我们能联系到您。

问：关于XP挑战平台的消息发布
答：本平台消息发布的主要来源是：大赛新闻http://xp.erangelab.com和湖南合天智汇信息技术有限公司官方微博@合天智汇

问：用户审核结果什么时候发布
答：XP挑战平台根据报名情况，审核报名人员的资格。审核结果在4月4日17:00前发布在大赛新闻http://xp.erangelab.com中公布，同步会在官方微博@合天智汇中发布通知。

问：挑战结果什么时候发布
答：XP挑战平台将在4月8日9:00前发布在大赛新闻http://xp.erangelab.com中公布获奖名单，同步会在官方微博@合天智汇中发布通知，并以邮件和手机短信的形式通知获奖者。

问：MOOE是什么？
答：MOOE（Massive Open Online Experiment）是“大规模在线开放实验”的英文简称，是一种全新实验模式，MOOE在线实验平台采用虚拟化与SDN等技术，使用先进的软件定义网络与共享硬件资源思想，解决了传统实验室在时间、空间与实验内容更新慢的限制，能够快速构建复杂度高、隔离性强的各种网络与实验环境，支持多组、多人、并行的网络安全实验。

问：MOOE平台是基于什么技术？
答：MOOE平台基于云计算理念，采用虚拟化与软件定义网络（Software Defined Network, SDN）技术，能够能够快速构建复杂度高、隔离性强的各种网络与实验环境，支持多组、多人、并行的网络安全实验。

问：我明明在自己环境上成功了，为什么在你们环境下就不行？
答：挑战者如果认为网络或者环境因素导致攻击失败，请使用注册邮箱将攻击报告发送邮件至xperangelab@heetian.com，此邮件作为挑战凭据（邮件发送时间必须在初次尝试攻击之后、比赛结束之前）。如主办方审核确认攻击有效，挑战者同样具备获奖资格。

问：有一些账户没有激活成功，什么时候能激活成功？
答：我们会在用户审核前给未激活的用户补发激活邮件，请未激活用户注意查收邮件。另外，如果您也可以私信给我们，我们会及时给您发激活邮件。微博帐号@合天智汇

问：目标doc文件的路径名以何时何种方式给出？
答：在开赛以后，进入环境，就可以看到文件的路径。

问：控制目标机后，只能将获取到的doc文件FTP到Web服务器根目录才算有效还是其他方式（如：木马直接回传）获取到指定文件都为有效？
答：控制目标机后，只要能拿到指定的文件就算有效。但是，目前的情况是，从大赛安全的角度考虑，我们没有开放靶机和web服务器直接访问外网的权限。所以，推荐的方式是，把指定文件ftp到自己的web服务器，然后利用系统提供的下载功能拿到文件。但是，只要是 不通过 攻击挑战平台本身拿到的目标文件，就认为是合法的。

问：想了解目标机端口开放情况，xp防护软件是否可以联网更新补丁？
答：web服务器和靶机都在一个封闭的环境之中，xp防护软件不能联网更新补丁。但是，web服务器和靶机在一个局域网内。

问：web服务器的访问方式（如：上传、下载、查看等），以及目标机提供的操作方式
答：通过web界面上传、下载、查看、删除web服务器的根目录，推荐使用firefox哦。web界面上也提供一个按钮，打开或关闭浏览器 。

问：如果两个参赛者以同样的网页代码攻击不同的两个目标环境（一个为金山毒霸环境、一个为腾讯安全卫士环境），是否会被取消成绩
答：如果两个参赛者以同样的网页代码攻击不同的两个目标环境，不一定会被取消成绩，这由大赛评委会做出决定。

19940906

这个只是闹剧罢了。

One_self

提前通知厂商

guogaitou3000

47人参加的比赛

古月哥欠

希望下次做这种评测的时候，一定要公正，透明，有依据。
再者，希望360公司赶紧弹窗，买头条新闻位置，要不就这么两下，过几天也就没了

再说说这家公司~
测试只有两个目的"1.通过有组织有计划的民间打垒活动，增强我国现有XP用户的安全感，消除微软终止XP升级事件的民间恐慌情绪;
2.通过有组织有计划的民间打垒活动，对XP尚未发现的系统漏洞进行挖掘与通告，进一步增强各安全厂商产品针对XP的安全加固能力。
"
”民间“彻底的出卖了这家从事网络与信息安全工程研发的高新技术产业化合天智汇信息技术有限公司，我看的好想笑。

kerlee

如果连已知漏洞都无法防御，凭什么防未知漏洞？这是什么神逻辑……

钢铁侠

看完这篇FAQ，可以解决很多无脑喷的问题。

钢铁侠

kerlee 发表于 2014-4-6 01:57
如果连已知漏洞都无法防御，凭什么防未知漏洞？这是什么神逻辑……

个人理解，就是攻破未知漏洞的方法和手段很多是和利用已知漏洞的方法手段是一样的。
比赛使用不打补丁的电脑，实际是降低了难度，毕竟知道未知漏洞和攻击手段的人相对要少很多。

qtgamesky

钢铁侠 发表于 2014-4-6 02:25
个人理解，就是攻破未知漏洞的方法和手段很多是和利用已知漏洞的方法手段是一样的。
比赛使用不打补丁的 ...

感觉不科学，真装了各种卫士、管家的一般用户，不打补丁看着体检和弹窗一般都会打上的
没必要防护微软已经解决的漏洞
按照逻辑的话，如果不管已知和未知漏洞都能防护到的话，要微软补丁干嘛
这个比赛感觉不是比黑客侵入电脑的能力，毕竟那么多漏洞，而是比侵入后如何如何搞到文件的能力