【奖励升级】腾讯云WAF安全挑战赛2天冲刺倒计时 ！

倒计时2天！！！截至11月12日18:00

腾讯云WAF安全挑战赛邀你冲顶！

自11月1日挑战赛开幕以来，无数白帽子响应号召参与挑战，为我们提交高质量的绕过。感谢各位师傅们！

首周结束，do9gy师傅以优异的表现，荣居第一周周榜首！

do9gy师傅感言

刚刚得知自己第一周积分排名第一，纯属侥幸。2014年就参加过TSRC组织的WAF挑战赛，从那时开始就觉得自己对WAF攻防对抗非常感兴趣，这种绕过非常有挑战性。欢迎大家一起来参与。 借助这个机会，恭喜门神能力输出到云上。我以一个退役选手的身份为门神贡献最后一点力量，也衷心希望腾讯云WAF产品越来越强大。

谁将最终脱颖而出，夺取总榜冠军宝座？

赛事倒计时冲刺之际，为感谢各方白帽师傅们的倾情参与，TSRC再次郑重宣布一个好消息——

挑战赛的奖励标准，升级了！！！升级的奖励标准如下——

1、 SQL注入漏洞点评分标准

绕过WAF防护，读取到 information_schema.tables 表内的数据信息或数据库内的 flag 信息；提交绕过 payload 并简要描述绕过思路，即可获得5积分，345安全币(等同于1725人民币)的漏洞赏金：

2、 XSS漏洞利用评分标准：

(1)绕过WAF防护，可以在 Chrome/firefox 浏览器最新 Stable 版本下执行 alert/confirm/prompt 弹窗函数；提交绕过 payload 并简要描述绕过思路，即可获得3积分，54安全币(等同于270人民币)的漏洞赏金；

(2) 绕过WAF防护，可以在 Chrome/firefox 浏览器最新 Stable 版本下构造 payload 读取 cookie 并发送到第三方域站点；提交绕过 payload 并简要描述绕过思路，即可获得4积分，72安全币(等同于360人民币)的漏洞赏金。

之前提交的所有绕过，按照上述标准统一执行。

实物奖励标准，保持不变

1、排名规则：按漏洞所获得的安全币排序，高＞低；安全币相同，漏洞数量高＞低；漏洞数量相同，按第一个漏洞提交时间，早＞晚。 2、以上奖励均比赛结束后统一结算

挑战赛时间

2021年11月1日10:00 - 2021年11月12日18:00

挑战环境

1、PHP + MySQL http://demo1.qcloudwaf.com/sqlidemo/test.php?id=1 http://demo1.qcloudwaf.com/xssdemo/test.php?id=1

2、JSP + Oracle http://demo2.qcloudwaf.com/sqlidemo/test.jsp?id=1 http://demo2.qcloudwaf.com/xssdemo/test.jsp?id=1

3、ASP.NET + SQL Server http://demo3.qcloudwaf.com/sqlidemo/test.aspx http://demo3.qcloudwaf.com/xssdemo/test.aspx?id=1

漏洞报告标准

1、漏洞报告内容必须包含完整Payload，关键Payload和简要绕过思路三个部分； 2、漏洞标题必须以“[云WAF挑战赛]”开头； 3、完整Payload的定义为：“若关键Payload在Get请求中，可仅提供完整URL以供复现；若关键Payload在POST或HEADER请求参数中，需提供完整请求包以供复现”。

提交方式

1、 请将符合评分标准和规则的报告提交到TSRC 2、漏洞标题必须以“[云WAF挑战赛]”开头，先到先得。

附：测试规范

1、如同时有多个选手提交了重复的绕过方案，以最先提交的选手为准，先到先得(不同的Payload如思路相同将视为同一种绕过方案)； 2、禁止入侵靶场机，在靶场机上执行命令，恶意下载靶场机文件 3、禁止利用web站点之外的漏洞，如操作系统，数据库exp 4、禁止长时间影响系统性能暴力发包扫描测试 5、禁止使用对他人有害的代码（如蠕虫/获取他人敏感信息的操作等） 6、只对提供的漏洞参数点进行绕过测试获取指定信息即可，禁止测试其他漏洞 7、不可与其他测试选手共享思路，不得私自公开绕过技巧和payload 8、请勿扰乱其他测试选手进行测试，不要破坏主机环境 9、若一类绕过手法和原理用于多个靶场，该手法会被判定为同种绕过，如一种绕过通杀3个靶场，那么会按一个有效绕过判定 10、若Payload在浏览器环境或交互性等方面存在一定限制条件，影响Payload的实际危害，将可能酌情减少奖励

腾讯云WAF安全挑战赛冲刺倒计时！ 各方白帽齐聚精干，奋起争霸各显神通 共同守护腾讯云WAF安全 最后2天，JOIN US！