单个报告2000元!语义靶场SQL注入挑战赛来啦

admin 2022年9月10日14:40:15安全新闻评论6 views827字阅读2分45秒阅读模式

阿波罗计划第三期-语义靶场来袭!聚焦SQL注入的绕过,敬请期待9月10日(明天)晚上9点开启!

挑战规则:

SQL绕过挑战

挑战成功定义:给出一张已知表名,绕过靶场防御读取到表的字段名(即flag)

注意:仅引发报错,而没有获取数据的情况,会判定无效

2套环境:MySQL、PostgreSQL

单个报告2000元!语义靶场SQL注入挑战赛来啦


挑战奖励:

1.每个有效的绕过报告,我们会给予2000元的奖励,同类手法以时间较早的提交为准

2.每个有效的绕过,我们都会给予20积分,最终按照积分排名,前三名还将获得精美礼品

3.每位提交绕过报告(不管是否重复)的选手都会获得小纪念品


提交规则:

请登陆ASRC官方网站,报名相关活动:

https://security.alibaba.com/online/detail?type=1&id=132&tab=1

报告请在ASRC站点提交漏洞报告,报告标题以阿波罗开头即可,如“阿波罗-注入绕过1”。

相关报告详情,请在语雀(www.yuque.com)文档中描述后加密分享,ASRC网站的报告中只需要包含语雀链接及口令即可。


报告需包含四要素,样例:

1.复现环境:如Win 7 + Chrome 85.0.4168.2

2.PoC:如xxxxx.com/xxxx?id=xxx' or 1=1 ;(select * from abc)'

3.一两句话简单描述原理:如利用分号绕过特征检测达成sql注入绕过

4.执行结果截图证明:(图)


规则要求:

1.如同时有多个选手提交了重复的绕过手法,奖金以最先提交的选手为准

2.一种绕过适用多个靶场的情况,会被判定为同种绕过,如一种绕过通杀2个靶场,那么会按一个有效绕过判定

3.禁止入侵、DDOS、物理入侵靶场站点

4.禁止攻击选手和裁判(如蠕虫/钓鱼等)

5.不能私自公布报告及payload,需与ASRC沟通

6.本次挑战赛最终解释权归ASRC所有


加入活动钉钉群,找找一起绕过的小伙伴:

单个报告2000元!语义靶场SQL注入挑战赛来啦

原文始发于微信公众号(阿里安全响应中心):单个报告2000元!语义靶场SQL注入挑战赛来啦

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月10日14:40:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  单个报告2000元!语义靶场SQL注入挑战赛来啦 http://cn-sec.com/archives/1289956.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: