阿里云安全阿波罗计划二期发布，欢迎来战！

阿里云安全阿波罗计划二期发布，欢迎来战！
2020-12-17 18:58:00 Author: mp.weixin.qq.com(查看原文) 阅读量:74 收藏

里拉琴响起，太阳之神的弓箭高举

光明与真理共存，攻击与守护同在

网络世界的阿波罗们，欢迎来到更奇妙的靶场环境

更丰富的奖励内容，海内外明星白帽参与，全球同步进行！

阿波罗计划是阿里云安全推出的WAF安全挑战赛系列项目，阿波罗是太阳神，WAF是web应用防火墙，阿波罗计划 - 骄阳之火亦能御守。

今年六月，我们发布了阿波罗计划一期，挑战WAF靶场，有8位白帽成功攻破了我们的靶场拿到了奖金，评分最高的“猪肉包子“获得近两万元奖励！

本周三12月16日上午10点，WAF靶场2.0来袭！

这次我们准备了6套环境，3套面向XSS绕过，3套面向注入绕过，分别部署在不同的环境中，召唤英雄！

挑战规则

1）XSS挑战

挑战成功定义：需在 Chrome/Firefox 浏览器最新 Stable 版本下，绕过靶场防御在相关域名环境中成功执行alert/confirm/prompt 函数。

注意：若调用URL在非目标域执行函数不在范围

挑战范围：get型、post型、交互类xss均算有效

2）SQL挑战

挑战成功定义：给出一张已知表名，绕过靶场防御读取到数据库表名或其他数据库相关信息。

注意：仅引发报错，而没有获取数据的情况，会判定无效

3套环境：PHP + MySQL、JAVA + Oracle、ASP.NET + MSSQL

挑战奖励

1. 每个有效的攻击手法，我们会给予2000元的奖励，同类手法以时间较早的提交为准

2. 每个有效的绕过，我们都会给予50积分，最终按照积分排名，前三名还将获得精美礼品

3. 每位有有效提交的选手都会获得小纪念品

提交规则

1. 请登陆ASRC官方网站，报名活动

报名链接：

https://security.alibaba.com/online/detail?id=83

报名后欢迎加入活动专属钉钉群：34041211

2. 靶场环境地址将在活动开启后在网站活动详情中看到。

3. 报告请在ASRC站点提交漏洞报告，报告标题以阿波罗开头，如“阿波罗-XSSxxx方法绕过1”。

报告请包含四要素，样例：

1. 复现环境：如Win 7 + Chrome 85.0.4168.2

2. POC：如xxxxx.com/xxxx?id=alert;a(1)

3. 一两句话简单描述原理：如利用分号绕过特征检测达成xss

4. 执行结果截图证明：（图）

规则要求

1. 如同时有多个选手提交了重复的绕过手法，奖金以最先提交的选手为准

2. 一种绕过适用多个靶场的情况，会被判定为同种绕过，如一种绕过通杀3个靶场，那么会按一个有效绕过判定

3. 禁止入侵、DDOS、物理入侵靶场站点

4. 禁止攻击选手和裁判（如蠕虫/钓鱼等）

5. 不能私自公布报告及payload，需与ASRC沟通

6. 本次挑战赛最终解释权归ASRC所有

注意

1. 最新chrome或Firefox内核下，图片粘贴提交目前有bug，可能粘贴一次会有两张图，直接提交即可不要删掉一张，否则会丢失图片。

2. 在ASRC网站部分payload可能会被网站waf拦截导致提交的时候转圈圈读条提不了，可以适当分行分段，让审核看得懂即可。

3. ASRC站点若访问不稳定出错，可多刷新几次。