阿里雲安全 阿波羅計劃二期釋出,歡迎來戰!

Editor發表於2020-12-16

琴響起,太陽之神的弓箭高舉

光明與真理共存,攻擊與守護同在

網路世界的阿波羅們,歡迎來到更奇妙的靶場環境

更豐富的獎勵內容,海內外明星白帽參與,全球同步進行!


阿里雲安全 阿波羅計劃二期釋出,歡迎來戰!


阿波羅計劃是阿里雲安全推出的WAF安全挑戰賽系列專案,阿波羅是太陽神,WAF是web應用防火牆,阿波羅計劃 - 驕陽之火亦能御守。


今年六月,我們釋出了阿波羅計劃一期,挑戰WAF靶場,有8位白帽成功攻破了我們的靶場拿到了獎金,評分最高的“豬肉包子“獲得近兩萬元獎勵!


本週三12月16日上午10點,WAF靶場2.0來襲!這次我們準備了6套環境,3套面向XSS繞過,3套面向注入繞過,分別部署在不同的環境中,召喚英雄!


挑戰規則:

2個場景:

1)XSS挑戰

挑戰成功定義:需在 Chrome/Firefox 瀏覽器最新 Stable 版本下,繞過靶場防禦在相關域名環境中成功執行alert/confirm/prompt 函式

注意:若呼叫URL在非目標域執行函式不在範圍

挑戰範圍:get型、post型、互動類xss均算有效


2)SQL挑戰

挑戰成功定義:給出一張已知表名,繞過靶場防禦讀取到資料庫表名或其他資料庫相關資訊

注意:僅引發報錯,而沒有獲取資料的情況,會判定無效


3套環境:PHP + MySQLJAVA + OracleASP.NET + MSSQL


挑戰獎勵:

1.每個有效的攻擊手法,我們會給予2000元的獎勵,同類手法以時間較早的提交為準

2.每個有效的繞過,我們都會給予50積分,最終按照積分排名,前三名還將獲得精美禮品

3.每位有有效提交的選手都會獲得小紀念品


提交規則:

請登陸ASRC官方網站,報名相關活動,點選“閱讀原文”可直達活動地址:https://security.alibaba.com/online/detail?spm=0.0.0.0.N4znpQ&type=1&id=82&tab=1

靶場環境地址將在活動開啟後在網站活動詳情中看到

報告請在ASRC站點提交漏洞報告,報告標題以阿波羅開頭即可,如“阿波羅-XSSxxx方法繞過1”


報告請包含四要素,樣例:

1.復現環境:如Win 7 + Chrome 85.0.4168.2

2.POC:如xxxxx.com/xxxx?id=alert;a(1)

3.一兩句話簡單描述原理:如利用分號繞過特徵檢測達成xss

4.執行結果截圖證明:(圖)


規則要求:

1.如同時有多個選手提交了重複的繞過手法,獎金以最先提交的選手為準

2.一種繞過適用多個靶場的情況,會被判定為同種繞過,如一種繞過通殺3個靶場,那麼會按一個有效繞過判定

3.禁止入侵、DDOS、物理入侵靶場站點

4.禁止攻擊選手和裁判(如蠕蟲/釣魚等)

5.不能私自公佈報告及payload,需與ASRC溝通

6.本次挑戰賽最終解釋權歸ASRC所有


注意:

1.最新chrome或Firefox核心下,圖片貼上提交目前有bug,可能貼上一次會有兩張圖,直接提交即可不要刪掉一張,否則會丟失圖片

2.在ASRC網站部分payload可能會被網站waf攔截導致提交的時候轉圈圈讀條提不了,可以適當分行分段,讓稽核看得懂即可

3.ASRC站點若訪問不穩定出錯,可多重新整理幾次


相關文章