首页
论坛
课程
招聘

阿里云安全 阿波罗计划二期发布,欢迎来战!

2020-12-16 15:01

琴响起,太阳之神的弓箭高举

光明与真理共存,攻击与守护同在

网络世界的阿波罗们,欢迎来到更奇妙的靶场环境

更丰富的奖励内容,海内外明星白帽参与,全球同步进行!



阿波罗计划是阿里云安全推出的WAF安全挑战赛系列项目,阿波罗是太阳神,WAF是web应用防火墙,阿波罗计划 - 骄阳之火亦能御守。


今年六月,我们发布了阿波罗计划一期,挑战WAF靶场,有8位白帽成功攻破了我们的靶场拿到了奖金,评分最高的“猪肉包子“获得近两万元奖励!


本周三12月16日上午10点,WAF靶场2.0来袭!这次我们准备了6套环境,3套面向XSS绕过,3套面向注入绕过,分别部署在不同的环境中,召唤英雄!


挑战规则:

2个场景:

1)XSS挑战

挑战成功定义:需在 Chrome/Firefox 浏览器最新 Stable 版本下,绕过靶场防御在相关域名环境中成功执行alert/confirm/prompt 函数

注意:若调用URL在非目标域执行函数不在范围

挑战范围:get型、post型、交互类xss均算有效


2)SQL挑战

挑战成功定义:给出一张已知表名,绕过靶场防御读取到数据库表名或其他数据库相关信息

注意:仅引发报错,而没有获取数据的情况,会判定无效


3套环境:PHP + MySQLJAVA + OracleASP.NET + MSSQL


挑战奖励:

1.每个有效的攻击手法,我们会给予2000元的奖励,同类手法以时间较早的提交为准

2.每个有效的绕过,我们都会给予50积分,最终按照积分排名,前三名还将获得精美礼品

3.每位有有效提交的选手都会获得小纪念品


提交规则:


1、请登陆ASRC官方网站,报名活动

报名链接:https://security.alibaba.com/online/detail?id=83

报名后欢迎加入活动专属钉钉群:34041211


2、靶场环境地址将在活动开启后在网站活动详情中看到


3、报告请在ASRC站点提交漏洞报告,报告标题以阿波罗开头,如“阿波罗-XSSxxx方法绕过1”


报告请包含四要素,样例:

1.复现环境:如Win 7 + Chrome 85.0.4168.2

2.POC:如xxxxx.com/xxxx?id=alert;a(1)

3.一两句话简单描述原理:如利用分号绕过特征检测达成xss

4.执行结果截图证明:(图)


规则要求:

1.如同时有多个选手提交了重复的绕过手法,奖金以最先提交的选手为准

2.一种绕过适用多个靶场的情况,会被判定为同种绕过,如一种绕过通杀3个靶场,那么会按一个有效绕过判定

3.禁止入侵、DDOS、物理入侵靶场站点

4.禁止攻击选手和裁判(如蠕虫/钓鱼等)

5.不能私自公布报告及payload,需与ASRC沟通

6.本次挑战赛最终解释权归ASRC所有


注意:

1.最新chrome或Firefox内核下,图片粘贴提交目前有bug,可能粘贴一次会有两张图,直接提交即可不要删掉一张,否则会丢失图片

2.在ASRC网站部分payload可能会被网站waf拦截导致提交的时候转圈圈读条提不了,可以适当分行分段,让审核看得懂即可

3.ASRC站点若访问不稳定出错,可多刷新几次



声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论