阿里雲安全 阿波羅計劃二期釋出，歡迎來戰！

裡拉琴響起，太陽之神的弓箭高舉

光明與真理共存，攻擊與守護同在

網路世界的阿波羅們，歡迎來到更奇妙的靶場環境

更豐富的獎勵內容，海內外明星白帽參與，全球同步進行！

阿波羅計劃是阿里雲安全推出的WAF安全挑戰賽系列專案，阿波羅是太陽神，WAF是web應用防火牆，阿波羅計劃 - 驕陽之火亦能御守。

今年六月，我們釋出了阿波羅計劃一期，挑戰WAF靶場，有8位白帽成功攻破了我們的靶場拿到了獎金，評分最高的“豬肉包子“獲得近兩萬元獎勵！

本週三12月16日上午10點，WAF靶場2.0來襲！這次我們準備了6套環境，3套面向XSS繞過，3套面向注入繞過，分別部署在不同的環境中，召喚英雄！

挑戰規則：

2個場景：

1）XSS挑戰

挑戰成功定義：需在 Chrome/Firefox 瀏覽器最新 Stable 版本下，繞過靶場防禦在相關域名環境中成功執行alert/confirm/prompt 函式

注意：若呼叫URL在非目標域執行函式不在範圍

挑戰範圍：get型、post型、互動類xss均算有效

2）SQL挑戰

挑戰成功定義：給出一張已知表名，繞過靶場防禦讀取到資料庫表名或其他資料庫相關資訊

注意：僅引發報錯，而沒有獲取資料的情況，會判定無效

3套環境：PHP + MySQL、JAVA + Oracle、ASP.NET + MSSQL

挑戰獎勵：

1.每個有效的攻擊手法，我們會給予2000元的獎勵，同類手法以時間較早的提交為準

2.每個有效的繞過，我們都會給予50積分，最終按照積分排名，前三名還將獲得精美禮品

3.每位有有效提交的選手都會獲得小紀念品

提交規則：

請登陸ASRC官方網站，報名相關活動，點選“閱讀原文”可直達活動地址：https://security.alibaba.com/online/detail?spm=0.0.0.0.N4znpQ&type=1&id=82&tab=1

靶場環境地址將在活動開啟後在網站活動詳情中看到

報告請在ASRC站點提交漏洞報告，報告標題以阿波羅開頭即可，如“阿波羅-XSSxxx方法繞過1”

報告請包含四要素，樣例：

1.復現環境：如Win 7 + Chrome 85.0.4168.2

2.POC：如xxxxx.com/xxxx?id=alert;a(1)

3.一兩句話簡單描述原理：如利用分號繞過特徵檢測達成xss

4.執行結果截圖證明：（圖）

規則要求：

1.如同時有多個選手提交了重複的繞過手法，獎金以最先提交的選手為準

2.一種繞過適用多個靶場的情況，會被判定為同種繞過，如一種繞過通殺3個靶場，那麼會按一個有效繞過判定

3.禁止入侵、DDOS、物理入侵靶場站點

4.禁止攻擊選手和裁判（如蠕蟲/釣魚等）

5.不能私自公佈報告及payload，需與ASRC溝通

6.本次挑戰賽最終解釋權歸ASRC所有

注意：

1.最新chrome或Firefox核心下，圖片貼上提交目前有bug，可能貼上一次會有兩張圖，直接提交即可不要刪掉一張，否則會丟失圖片

2.在ASRC網站部分payload可能會被網站waf攔截導致提交的時候轉圈圈讀條提不了，可以適當分行分段，讓稽核看得懂即可

3.ASRC站點若訪問不穩定出錯，可多重新整理幾次