共计 1819 个字符,预计需要花费 5 分钟才能阅读完成。
倒计时 2 天!!!截至 11 月 12 日 18:00
腾讯云 WAF 平安挑战赛邀你冲顶!
自 11 月 1 日挑战赛揭幕以来,有数白帽子响应号召参加挑战,为咱们提交高质量的绕过。感激各位徒弟们!
首周完结,do9gy 徒弟以优异的体现,荣居第一周周榜首!
do9gy 徒弟感言
刚刚得悉本人第一周积分排名第一,纯属幸运。2014 年就加入过 TSRC 组织的 WAF 挑战赛,从那时开始就感觉本人对 WAF 攻防反抗十分感兴趣,这种绕过十分有挑战性。欢送大家一起来参加。
借助这个机会,祝贺门神能力输入到云上。我以一个服役选手的身份为门神奉献最初一点力量,也衷心希望腾讯云 WAF 产品越来越弱小。
谁将最终怀才不遇,篡夺总榜冠军宝座?
赛事倒计时冲刺之际,为感激各方白帽徒弟们的倾情参加,TSRC 再次郑重宣布一个好消息——
挑战赛的处分规范,降级了!!!降级的处分规范如下——
1、SQL 注入破绽点评分标准
绕过 WAF 防护,读取到 information_schema.tables 表内的数据信息或数据库内的 flag 信息;提交绕过 payload 并简要形容绕过思路,即可取得 5 积分,345 平安币 (等同于 1725 人民币) 的破绽赏金:
2、XSS 破绽利用评分标准:
(1)绕过 WAF 防护,能够在 Chrome/firefox 浏览器最新 Stable 版本下执行 alert/confirm/prompt 弹窗函数;提交绕过 payload 并简要形容绕过思路,即可取得 3 积分,54 平安币 (等同于 270 人民币) 的破绽赏金;
(2) 绕过 WAF 防护,能够在 Chrome/firefox 浏览器最新 Stable 版本下结构 payload 读取 cookie 并发送到第三方域站点;提交绕过 payload 并简要形容绕过思路,即可取得 4 积分,72 平安币 (等同于 360 人民币) 的破绽赏金。
之前提交的所有绕过,依照上述规范对立执行。
实物处分规范,放弃不变
1、排名规定:按破绽所取得的平安币排序,高>低;平安币雷同,破绽数量高>低;破绽数量雷同,按第一个破绽提交工夫,早>晚。
2、以上处分均较量完结后对立结算
挑战赛工夫
2021 年 11 月 1 日 10:00 – 2021 年 11 月 12 日 18:00
挑战环境
1、PHP + MySQL
http://demo1.qcloudwaf.com/sq…
http://demo1.qcloudwaf.com/xs…
2、JSP + Oracle
http://demo2.qcloudwaf.com/sq…
http://demo2.qcloudwaf.com/xs…
3、ASP.NET + SQL Server
http://demo3.qcloudwaf.com/sq…
http://demo3.qcloudwaf.com/xs…
破绽报告规范
1、破绽报告内容必须蕴含残缺 Payload,要害 Payload 和简要绕过思路三个局部;
2、破绽题目必须以“[云 WAF 挑战赛]”结尾;
3、残缺 Payload 的定义为:“若要害 Payload 在 Get 申请中,可仅提供残缺 URL 以供复现;若要害 Payload 在 POST 或 HEADER 申请参数中,需提供残缺申请包以供复现”。
提交形式
1、请将合乎评分标准和规定的报告提交到 TSRC (https://security.tencent.com/…);
2、破绽题目必须以“[云 WAF 挑战赛]”结尾,先到先得。
附:测试标准
1、如同时有多个选手提交了反复的绕过计划,以最先提交的选手为准,先到先得(不同的 Payload 如思路雷同将视为同一种绕过计划);
2、禁止入侵靶场机,在靶场机上执行命令,歹意下载靶场机文件
3、禁止利用 web 站点之外的破绽,如操作系统,数据库 exp
4、禁止长时间影响零碎性能暴力发包扫描测试
5、禁止应用对别人无害的代码(如蠕虫 / 获取别人敏感信息的操作等)
6、只对提供的破绽参数点进行绕过测试获取指定信息即可,禁止测试其余破绽
7、不可与其余测试选手共享思路,不得擅自公开绕过技巧和 payload
8、请勿扰乱其余测试选手进行测试,不要毁坏主机环境
9、若一类绕过手法和原理用于多个靶场,该手法会被断定为同种绕过,如一种绕过通杀 3 个靶场,那么会按一个无效绕过断定
10、若 Payload 在浏览器环境或交互性等方面存在肯定限度条件,影响 Payload 的理论危害,将可能酌情缩小处分
腾讯云 WAF 平安挑战赛冲刺倒计时!
各方白帽齐聚精干,奋起争霸各显神通
独特守护腾讯云 WAF 平安
最初 2 天,JOIN US!