腾讯云WAF安全挑战赛正式启动!
上TSRC,报漏洞,多重奖励赢不停!
详情如下?
挑战环境
1、PHP + MySQL
http://demo1.qcloudwaf.com/sqlidemo/test.php?id=1
http://demo1.qcloudwaf.com/xssdemo/test.php?id=1
2、JSP + Oracle
http://demo2.qcloudwaf.com/sqlidemo/test.jsp?id=1
http://demo2.qcloudwaf.com/xssdemo/test.jsp?id=1
3、ASP.NET + SQL Server
http://demo3.qcloudwaf.com/sqlidemo/test.aspx
http://demo3.qcloudwaf.com/xssdemo/test.aspx?id=1
注意
1、请将符合评分标准和规则的报告提交到TSRC (https://security.tencent.com/index.php/report/add)
2、漏洞标题必须以“[云WAF挑战赛]”开头,先到先得。
3、漏洞报告内容必须包含完整Payload,关键Payload和简要绕过思路三个部分;
4、完整Payload的定义为:“若关键Payload在Get请求中,可仅提供完整URL以供复现;若关键Payload在POST或HEADER请求参数中,需提供完整请求包以供复现”。
奖励机制
分漏洞奖励和排行榜奖励两部分。如下:
1. 漏洞奖励标准
1) SQL注入漏洞点评分标准:
绕过WAF防护,读取到 information_schema.tables 表内的数据信息或数据库内的 flag 信息;提交绕过 payload 并简要描述绕过思路,即可获得5积分,300安全币(等同于1500人民币)的漏洞赏金:
2)XSS漏洞利用评分标准:
i. 绕过WAF防护,可以在 Chrome/firefox 浏览器最新 Stable 版本下执行 alert/confirm/prompt 弹窗函数;提交绕过 payload 并简要描述绕过思路,即可获得3积分,45安全币(等同于225人民币)的漏洞赏金;
ii. 绕过WAF防护,可以在 Chrome/firefox 浏览器最新 Stable 版本下构造 payload 读取 cookie 并发送到第三方域站点;提交绕过 payload 并简要描述绕过思路,即可获得4积分,60安全币(等同于300人民币)的漏洞赏金。
2. 实物奖励标准
同步设置挑战赛排行榜,奖项门槛如下:
注:
1)排名规则:按漏洞所获得的安全币排序,高>低;安全币相同,漏洞数量高>低;漏洞数量相同,按第一个漏洞提交时间,早>晚
2)奖励于比赛结束后统一结算
扫码立即参与?
点击“阅读原文”查看详细排名规则
原文始发于微信公众号(腾讯安全应急响应中心):正式开赛|腾讯云WAF安全挑战赛邀你冲顶!
