关于安全:TPSA2147-奖励升级腾讯云WAF安全挑战赛2天冲刺倒计时

倒计时2天！！！截至11月12日18:00

腾讯云WAF平安挑战赛邀你冲顶！

自11月1日挑战赛揭幕以来，有数白帽子响应号召参加挑战，为咱们提交高质量的绕过。感激各位徒弟们！

首周完结，do9gy徒弟以优异的体现，荣居第一周周榜首！

do9gy徒弟感言

刚刚得悉本人第一周积分排名第一，纯属幸运。2014年就加入过TSRC组织的WAF挑战赛，从那时开始就感觉本人对WAF攻防反抗十分感兴趣，这种绕过十分有挑战性。欢送大家一起来参加。

借助这个机会，祝贺门神能力输入到云上。我以一个服役选手的身份为门神奉献最初一点力量，也衷心希望腾讯云WAF产品越来越弱小。

谁将最终怀才不遇，篡夺总榜冠军宝座？

赛事倒计时冲刺之际，为感激各方白帽徒弟们的倾情参加，TSRC再次郑重宣布一个好消息——

挑战赛的处分规范，降级了！！！降级的处分规范如下——
1、 SQL注入破绽点评分标准
绕过WAF防护，读取到 information_schema.tables 表内的数据信息或数据库内的 flag 信息；提交绕过 payload 并简要形容绕过思路，即可取得5积分，345平安币(等同于1725人民币)的破绽赏金：

2、 XSS破绽利用评分标准：
(1)绕过WAF防护，能够在 Chrome/firefox 浏览器最新 Stable 版本下执行 alert/confirm/prompt 弹窗函数；提交绕过 payload 并简要形容绕过思路，即可取得3积分，54平安币(等同于270人民币)的破绽赏金；

(2) 绕过WAF防护，能够在 Chrome/firefox 浏览器最新 Stable 版本下结构 payload 读取 cookie 并发送到第三方域站点；提交绕过 payload 并简要形容绕过思路，即可取得4积分，72平安币(等同于360人民币)的破绽赏金。

之前提交的所有绕过，依照上述规范对立执行。
实物处分规范，放弃不变

1、排名规定：按破绽所取得的平安币排序，高＞低；平安币雷同，破绽数量高＞低；破绽数量雷同，按第一个破绽提交工夫，早＞晚。
2、以上处分均较量完结后对立结算

挑战赛工夫

2021年11月1日10:00 - 2021年11月12日18:00

挑战环境

1、PHP + MySQL
http://demo1.qcloudwaf.com/sq...
http://demo1.qcloudwaf.com/xs...

2、JSP + Oracle
http://demo2.qcloudwaf.com/sq...
http://demo2.qcloudwaf.com/xs...

3、ASP.NET + SQL Server
http://demo3.qcloudwaf.com/sq...
http://demo3.qcloudwaf.com/xs...

破绽报告规范

1、破绽报告内容必须蕴含残缺Payload，要害Payload和简要绕过思路三个局部；
2、破绽题目必须以“[云WAF挑战赛]”结尾；
3、残缺Payload的定义为：“若要害Payload在Get申请中，可仅提供残缺URL以供复现；若要害Payload在POST或HEADER申请参数中，需提供残缺申请包以供复现”。

提交形式

1、 请将合乎评分标准和规定的报告提交到TSRC (https://security.tencent.com/...)；
2、破绽题目必须以“[云WAF挑战赛]”结尾，先到先得。

附：测试标准

1、如同时有多个选手提交了反复的绕过计划，以最先提交的选手为准，先到先得(不同的Payload如思路雷同将视为同一种绕过计划)；
2、禁止入侵靶场机，在靶场机上执行命令，歹意下载靶场机文件
3、禁止利用web站点之外的破绽，如操作系统，数据库exp
4、禁止长时间影响零碎性能暴力发包扫描测试
5、禁止应用对别人无害的代码（如蠕虫/获取别人敏感信息的操作等）
6、只对提供的破绽参数点进行绕过测试获取指定信息即可，禁止测试其余破绽
7、不可与其余测试选手共享思路，不得擅自公开绕过技巧和payload
8、请勿扰乱其余测试选手进行测试，不要毁坏主机环境
9、若一类绕过手法和原理用于多个靶场，该手法会被断定为同种绕过，如一种绕过通杀3个靶场，那么会按一个无效绕过断定
10、若Payload在浏览器环境或交互性等方面存在肯定限度条件，影响Payload的理论危害，将可能酌情缩小处分

腾讯云WAF平安挑战赛冲刺倒计时！
各方白帽齐聚精干，奋起争霸各显神通
独特守护腾讯云WAF平安
最初2天，JOIN US！