10月20日,腾讯云新一代Web应用防火墙正式面世!
腾讯云WAF是一款基于AI的新一代Web应用防火墙,目前已经为腾讯视频、腾讯游戏、微信支付等上千个域名和站点提供防护,每天处理上万亿次访问请求。我们致力于探索和研究最前沿的Web攻防技术,为客户提供更加坚实、可靠、安全、稳定的Web业务环境。
为更好地防护安全攻击,TSRC同步发布腾讯云WAF安全挑战赛,并设置相关奖励,诚征各位安全志士加入我们,共同发现安全问题。
2021年11月1日上午10点 - 2021年11月12日下午6点
1、PHP + MySQL
http://demo1.qcloudwaf.com/sqlidemo/test.php?id=1
http://demo1.qcloudwaf.com/xssdemo/test.php?id=1
2、JSP + Oracle
http://demo2.qcloudwaf.com/sqlidemo/test.jsp?id=1
http://demo2.qcloudwaf.com/xssdemo/test.jsp?id=1
3、ASP.NET + SQL Server
http://demo3.qcloudwaf.com/sqlidemo/test.aspx
http://demo3.qcloudwaf.com/xssdemo/test.aspx?id=1
分漏洞奖励和排行榜奖励两部分。细则如下:
1、 SQL注入漏洞点评分标准
绕过WAF防护,读取到 information_schema.tables 表内的数据信息或数据库内的 flag 信息;提交绕过 payload 并简要描述绕过思路,即可获得5积分,300安全币(等同于1500人民币)的漏洞赏金:
2、 XSS漏洞利用评分标准:
i. 绕过WAF防护,可以在 Chrome/firefox 浏览器最新 Stable 版本下执行 alert/confirm/prompt 弹窗函数;提交绕过 payload 并简要描述绕过思路,即可获得3积分,45安全币(等同于225人民币)的漏洞赏金;
ii. 绕过WAF防护,可以在 Chrome/firefox 浏览器最新 Stable 版本下构造 payload 读取 cookie 并发送到第三方域站点;提交绕过 payload 并简要描述绕过思路,即可获得4积分,60安全币(等同于300人民币)的漏洞赏金。
同步设置挑战赛排行榜,相关奖项及门槛如下:
注:
1、排名规则:按漏洞所获得的安全币排序,高>低;安全币相同,漏洞数量高>低;漏洞数量相同,按第一个漏洞提交时间,早>晚。
2、以上奖励均比赛结束后统一结算
1、漏洞报告内容必须包含完整Payload,关键Payload和简要绕过思路三个部分;
2、漏洞标题必须以“[云WAF挑战赛]”开头;
3、完整Payload的定义为:“若关键Payload在Get请求中,可仅提供完整URL以供复现;若关键Payload在POST或HEADER请求参数中,需提供完整请求包以供复现”。
1、 请将符合评分标准和规则的报告提交到TSRC (https://security.tencent.com/index.php/report/add);
2、漏洞标题必须以“[云WAF挑战赛]”开头,先到先得。
1、如同时有多个选手提交了重复的绕过方案,以最先提交的选手为准,先到先得(不同的Payload如思路相同将视为同一种绕过方案);
2、禁止入侵靶场机,在靶场机上执行命令,恶意下载靶场机文件
3、禁止利用web站点之外的漏洞,如操作系统,数据库exp
4、禁止长时间影响系统性能暴力发包扫描测试
5、禁止使用对他人有害的代码(如蠕虫/获取他人敏感信息的操作等)
6、只对提供的漏洞参数点进行绕过测试获取指定信息即可,禁止测试其他漏洞
7、不可与其他测试选手共享思路,不得私自公开绕过技巧和payload
8、请勿扰乱其他测试选手进行测试,不要破坏主机环境
9、若一类绕过手法和原理用于多个靶场,该手法会被判定为同种绕过,如一种绕过通杀3个靶场,那么会按一个有效绕过判定
10、若Payload在浏览器环境或交互性等方面存在一定限制条件,影响Payload的实际危害,将可能酌情减少奖励
捐款成功,感谢您的无私奉献
