裡拉琴響起,太陽之神的弓箭高舉
光明與真理共存,攻擊與守護同在
網路世界的阿波羅們,歡迎來到更奇妙的靶場環境
更豐富的獎勵內容,海內外明星白帽參與,全球同步進行!
阿波羅計劃是阿里雲安全推出的WAF安全挑戰賽系列專案,阿波羅是太陽神,WAF是web應用防火牆,阿波羅計劃 - 驕陽之火亦能御守。
今年六月,我們釋出了阿波羅計劃一期,挑戰WAF靶場,有8位白帽成功攻破了我們的靶場拿到了獎金,評分最高的“豬肉包子“獲得近兩萬元獎勵!
本週三12月16日上午10點,WAF靶場2.0來襲!這次我們準備了6套環境,3套面向XSS繞過,3套面向注入繞過,分別部署在不同的環境中,召喚英雄!
挑戰規則:
2個場景:
1)XSS挑戰
挑戰成功定義:需在 Chrome/Firefox 瀏覽器最新 Stable 版本下,繞過靶場防禦在相關域名環境中成功執行alert/confirm/prompt 函式
注意:若呼叫URL在非目標域執行函式不在範圍
挑戰範圍:get型、post型、互動類xss均算有效
2)SQL挑戰
挑戰成功定義:給出一張已知表名,繞過靶場防禦讀取到資料庫表名或其他資料庫相關資訊
注意:僅引發報錯,而沒有獲取資料的情況,會判定無效
3套環境:PHP + MySQL、JAVA + Oracle、ASP.NET + MSSQL
挑戰獎勵:
1.每個有效的攻擊手法,我們會給予2000元的獎勵,同類手法以時間較早的提交為準
2.每個有效的繞過,我們都會給予50積分,最終按照積分排名,前三名還將獲得精美禮品
3.每位有有效提交的選手都會獲得小紀念品
提交規則:
請登陸ASRC官方網站,報名相關活動,點選“閱讀原文”可直達活動地址:https://security.alibaba.com/online/detail?spm=0.0.0.0.N4znpQ&type=1&id=82&tab=1
靶場環境地址將在活動開啟後在網站活動詳情中看到
報告請在ASRC站點提交漏洞報告,報告標題以阿波羅開頭即可,如“阿波羅-XSSxxx方法繞過1”
報告請包含四要素,樣例:
1.復現環境:如Win 7 + Chrome 85.0.4168.2
2.POC:如xxxxx.com/xxxx?id=alert;a(1)
3.一兩句話簡單描述原理:如利用分號繞過特徵檢測達成xss
4.執行結果截圖證明:(圖)
規則要求:
1.如同時有多個選手提交了重複的繞過手法,獎金以最先提交的選手為準
2.一種繞過適用多個靶場的情況,會被判定為同種繞過,如一種繞過通殺3個靶場,那麼會按一個有效繞過判定
3.禁止入侵、DDOS、物理入侵靶場站點
4.禁止攻擊選手和裁判(如蠕蟲/釣魚等)
5.不能私自公佈報告及payload,需與ASRC溝通
6.本次挑戰賽最終解釋權歸ASRC所有
注意:
1.最新chrome或Firefox核心下,圖片貼上提交目前有bug,可能貼上一次會有兩張圖,直接提交即可不要刪掉一張,否則會丟失圖片
2.在ASRC網站部分payload可能會被網站waf攔截導致提交的時候轉圈圈讀條提不了,可以適當分行分段,讓稽核看得懂即可
3.ASRC站點若訪問不穩定出錯,可多重新整理幾次