阿波罗计划第二期

阿波罗计划第二期来啦！

更奇妙的靶场环境，更丰富的奖励，全球同步进行，邀请海内外明星白帽，敬请期待12.16开启！

挑战规则

2个场景：

1）XSS挑战

挑战成功定义：需在 Chrome/Firefox 浏览器最新 Stable 版本下，绕过靶场防御在相关域名环境中成功执行alert/confirm/prompt 函数

注意：若调用URL在非目标域执行函数不在范围

挑战范围：get型、post型、交互类xss均算有效

2）SQL挑战

挑战成功定义：给出一张已知表名，绕过靶场防御读取到数据库表名或其他数据库相关信息

注意：仅引发报错，而没有获取数据的情况，会判定无效

3套环境：PHP + MySQL、JAVA + Oracle、ASP.NET + MSSQL

挑战奖励

1.每个有效的攻击手法，我们会给予2000元的奖励，同类手法以时间较早的提交为准

2.每个有效的绕过，我们都会给予100积分，最终按照积分排名，前三名还将获得精美礼品

3.每位有有效提交的选手都会获得小纪念品

提交规则

1、请登陆ASRC官方网站，报名活动

报名链接：https://security.alibaba.com/online/detail?id=83

报名后欢迎加入活动专属钉钉群：34041211

2、靶场环境地址将在活动开启后在网站活动详情中看到

3、报告请在ASRC站点提交漏洞报告，报告标题以阿波罗开头，如“阿波罗-XSSxxx方法绕过1”

报告请包含四要素，样例：

1.复现环境：如Win 7 + Chrome 85.0.4168.2

2.POC：如xxxxx.com/xxxx?id=alert;a(1)

3.一两句话简单描述原理：如利用分号绕过特征检测达成xss

4.执行结果截图证明：（图）

规则要求

1.如同时有多个选手提交了重复的绕过手法，奖金以最先提交的选手为准

2.一种绕过适用多个靶场的情况，会被判定为同种绕过，如一种绕过通杀3个靶场，那么会按一个有效绕过判定

3.禁止入侵、DDOS、物理入侵靶场站点

4.禁止攻击选手和裁判（如蠕虫/钓鱼等）

5.不能私自公布报告及payload，需与ASRC沟通

6.本次挑战赛最终解释权归ASRC所有

注意

1.最新chrome或Firefox内核下，图片粘贴提交目前有bug，可能粘贴一次会有两张图，直接提交即可不要删掉一张，否则会丢失图片

2.在ASRC网站部分payload可能会被网站waf拦截导致提交的时候转圈圈读条提不了，可以适当分行分段，让审核看得懂即可

3.ASRC站点若访问不稳定出错，可多刷新几次