【獎勵升級】騰訊雲WAF安全挑戰賽2天衝刺倒數計時 !
倒數計時2天!!!截至11月12日18:00
騰訊雲WAF安全挑戰賽邀你衝頂!
自11月1日挑戰賽開幕以來,無數白帽子響應號召參與挑戰,為我們提交高質量的繞過。感謝各位師傅們!
首周結束,do9gy師傅以優異的表現,榮居第一週周榜首!
do9gy師傅感言
剛剛得知自己第一週積分排名第一,純屬僥倖。2014年就參加過TSRC組織的WAF挑戰賽,從那時開始就覺得自己對WAF攻防對抗非常感興趣,這種繞過非常有挑戰性。歡迎大家一起來參與。
藉助這個機會,恭喜門神能力輸出到雲上。我以一個退役選手的身份為門神貢獻最後一點力量,也衷心希望騰訊雲WAF產品越來越強大。
誰將最終脫穎而出,奪取總榜冠軍寶座?
賽事倒數計時衝刺之際,為感謝各方白帽師傅們的傾情參與,TSRC再次鄭重宣佈一個好訊息——
挑戰賽的獎勵標準,升級了!!!升級的獎勵標準如下——
1、 SQL隱碼攻擊漏洞點評分標準
繞過WAF防護,讀取到 information_schema.tables 表內的資料資訊或資料庫內的 flag 資訊;提交繞過 payload 並簡要描述繞過思路,即可獲得5積分,345安全幣(等同於1725人民幣)的漏洞賞金:
2、 XSS漏洞利用評分標準:
(1)繞過WAF防護,可以在 Chrome/firefox 瀏覽器最新 Stable 版本下執行 alert/confirm/prompt 彈窗函式;提交繞過 payload 並簡要描述繞過思路,即可獲得3積分,54安全幣(等同於270人民幣)的漏洞賞金;
(2) 繞過WAF防護,可以在 Chrome/firefox 瀏覽器最新 Stable 版本下構造 payload 讀取 cookie 併傳送到第三方域站點;提交繞過 payload 並簡要描述繞過思路,即可獲得4積分,72安全幣(等同於360人民幣)的漏洞賞金。
之前提交的所有繞過,按照上述標準統一執行。
實物獎勵標準,保持不變
1、排名規則:按漏洞所獲得的安全幣排序,高>低;安全幣相同,漏洞數量高>低;漏洞數量相同,按第一個漏洞提交時間,早>晚。
2、以上獎勵均比賽結束後統一結算
挑戰賽時間
2021年11月1日10:00 - 2021年11月12日18:00
挑戰環境
1、PHP + MySQL
http://demo1.qcloudwaf.com/sqlidemo/test.php?id=1
http://demo1.qcloudwaf.com/xssdemo/test.php?id=1
2、JSP + Oracle
http://demo2.qcloudwaf.com/sqlidemo/test.jsp?id=1
http://demo2.qcloudwaf.com/xssdemo/test.jsp?id=1
3、ASP.NET + SQL Server
http://demo3.qcloudwaf.com/sqlidemo/test.aspx
http://demo3.qcloudwaf.com/xssdemo/test.aspx?id=1
漏洞報告標準
1、漏洞報告內容必須包含完整Payload,關鍵Payload和簡要繞過思路三個部分;
2、漏洞標題必須以“[雲WAF挑戰賽]”開頭;
3、完整Payload的定義為:“若關鍵Payload在Get請求中,可僅提供完整URL以供復現;若關鍵Payload在POST或HEADER請求引數中,需提供完整請求包以供復現”。
提交方式
1、 請將符合評分標準和規則的報告提交到TSRC (https://security.tencent.com/index.php/report/add);
2、漏洞標題必須以“[雲WAF挑戰賽]”開頭,先到先得。
附:測試規範
1、如同時有多個選手提交了重複的繞過方案,以最先提交的選手為準,先到先得(不同的Payload如思路相同將視為同一種繞過方案);
2、禁止入侵靶場機,在靶場機上執行命令,惡意下載靶場機檔案
3、禁止利用web站點之外的漏洞,如作業系統,資料庫exp
4、禁止長時間影響系統效能暴力發包掃描測試
5、禁止使用對他人有害的程式碼(如蠕蟲/獲取他人敏感資訊的操作等)
6、只對提供的漏洞引數點進行繞過測試獲取指定資訊即可,禁止測試其他漏洞
7、不可與其他測試選手共享思路,不得私自公開繞過技巧和payload
8、請勿擾亂其他測試選手進行測試,不要破壞主機環境
9、若一類繞過手法和原理用於多個靶場,該手法會被判定為同種繞過,如一種繞過通殺3個靶場,那麼會按一個有效繞過判定
10、若Payload在瀏覽器環境或互動性等方面存在一定限制條件,影響Payload的實際危害,將可能酌情減少獎勵
騰訊雲WAF安全挑戰賽衝刺倒數計時!
各方白帽齊聚精幹,奮起爭霸各顯神通
共同守護騰訊雲WAF安全
最後2天,JOIN US!
相關文章
- 報名倒數計時!2023遊鼎獎衝刺階段火熱報名中
- 騰訊SRC漏洞獎勵機制再升級!大力投入安全生態協同建設
- 雲原生程式設計挑戰賽火熱開賽,51 萬獎金等你來挑戰!程式設計
- 一個漏洞獎勵百萬!騰訊SRC全面加碼安全漏洞獎勵
- 騰訊公益賽衝刺個人部落格1(2024.4.23)
- 騰訊公益賽個人衝刺部落格2(2024.4.24)
- 騰訊公益賽個人衝刺部落格3(2024.4.25)
- 騰訊公益賽個人衝刺部落格4(2024.4.26)
- 騰訊公益賽個人衝刺部落格5(2024.4.29)
- 騰訊公益賽個人衝刺部落格6(2024.4.30)
- 騰訊公益賽個人衝刺部落格11(2024.5.28)
- 騰訊公益賽個人衝刺部落格12(2024.5.29)
- 騰訊公益賽個人衝刺部落格13(2024.5.30)
- 騰訊公益賽個人衝刺部落格14(2024.5.31)
- 騰訊公益賽個人衝刺部落格15(2024.6.3)
- 騰訊公益賽個人衝刺部落格16(2024.6.4)
- 最後 3 天|報名參加 OpenYurt+EdgeX 挑戰賽 ,衝擊最高 5 萬元獎勵!
- GeekPwn 2020雲靶場挑戰賽報名倒數計時1天!歡迎頂尖“雲上CTFer”踢館
- GeekPwn雲安全挑戰賽賽前大揭秘!
- 如何理解騰訊雲資料庫戰略升級?資料庫
- 騰訊安全與青藤雲安全合作升級,助力客戶完成年度大型攻防實戰
- 2019阿里雲雙11拼團活動獎勵再升級!阿里
- 挑戰倒數計時!“網際網路+”大賽華為命題加速高階能力提升
- 【週週有獎】雲原生程式設計挑戰賽“邊緣容器”賽道邀你來戰!程式設計
- 騰訊Light·公益創新挑戰賽介紹
- 騰訊丁珂:開放“騰訊級”雲原生安全能力,打贏雲上安全保衛戰
- 獎金全面升級!衝刺618!平安銀行眾測活動等你來挖!
- 騰訊2021LIGHT公益創新挑戰賽賽題分析
- 有獎徵文 | 2022 雲原生程式設計挑戰賽徵稿活動開啟!程式設計
- 報名第三屆“強網杯”全國網路安全挑戰賽,爭奪500萬現金獎勵!
- PSRC雙11闖關挑戰開啟!翻倍獎勵+闖關獎勵High翻全場!
- Call For Code挑戰賽倒數計時!你寫下的程式碼將如何應對氣候變化?
- 名單公佈!24支騰訊Light戰隊,騰訊Light·公益創新挑戰賽總決賽見!
- 聚焦產業上雲安全挑戰,騰訊安全登陸2020國家網路安全周產業
- 騰訊主機安全“獵刃計劃”正式釋出!WebShell挑戰賽再燃起,PHPer燥起來!WebshellPHP
- OBCP 培訓首期班完美收官,資料庫專家賦能季衝刺倒數計時!資料庫
- 2021騰訊Light.公益創新挑戰賽規則
- ZEEKRSRC挑戰信 | 單個漏洞最高獎勵2w