里拉琴响起，

太阳之神的弓箭高举。

光明与真理共存，

攻击与守护同在。

网络世界的阿波罗们，

欢迎来到更奇妙的靶场环境！

更丰富的奖励内容，

海内外明星白帽参与，

全球同步进行。

阿波罗计划是阿里云安全推出的WAF安全挑战赛系列项目，阿波罗是太阳神，WAF是web应用防火墙，阿波罗计划 - 骄阳之火亦能御守。

今年六月，我们发布了阿波罗计划一期，挑战WAF靶场，有8位白帽成功攻破了我们的靶场拿到了奖金，评分最高的“猪肉包子“获得近两万元奖励！

本周三12月16日上午10点，WAF靶场2.0来袭！这次我们准备了6套环境，3套面向XSS绕过，3套面向注入绕过，分别部署在不同的环境中，召唤英雄！

挑战规则

2个场景：
1）XSS挑战
挑战成功定义：需在 Chrome/Firefox 浏览器最新 Stable 版本下，绕过靶场防御在相关域名环境中成功执行alert/confirm/prompt 函数
注意：若调用URL在非目标域执行函数不在范围
挑战范围：get型、post型、交互类xss均算有效

2）SQL挑战
挑战成功定义：给出一张已知表名，绕过靶场防御读取到数据库表名或其他数据库相关信息
注意：仅引发报错，而没有获取数据的情况，会判定无效

3套环境：PHP + MySQL、JAVA + Oracle、ASP.NET + MSSQL

挑战奖励

1. 每个有效的攻击手法，我们会给予2000元的奖励，同类手法以时间较早的提交为准；
2. 每个有效的绕过，我们都会给予50积分，最终按照积分排名，前三名还将获得精美礼品；
3. 每位有有效提交的选手都会获得小纪念品。

提交规则

请登陆ASRC官方网站，报名相关活动，点击“阅读原文”可直达活动地址：https://security.alibaba.com/online/detail?spm=0.0.0.0.N4znpQ&type=1&id=82&tab=1
靶场环境地址将在活动开启后在网站活动详情中看到。
报告请在ASRC站点提交漏洞报告，报告标题以阿波罗开头即可，如“阿波罗-XSSxxx方法绕过1”。

报告四要素

样例：

1. 复现环境：如Win 7 + Chrome 85.0.4168.2
2. POC：如xxxxx.com/xxxx?id=alert;a(1)
3. 一两句话简单描述原理：如利用分号绕过特征检测达成xss
4. 执行结果截图证明

规则要求

1. 如同时有多个选手提交了重复的绕过手法，奖金以最先提交的选手为准；
2. 一种绕过适用多个靶场的情况，会被判定为同种绕过，如一种绕过通杀3个靶场，那么会按一个有效绕过判定；
3. 禁止入侵、DDoS、物理入侵靶场站点；
4. 禁止攻击选手和裁判（如蠕虫/钓鱼等）；
5. 不能私自公布报告及payload，需与ASRC沟通；
6. 本次挑战赛最终解释权归ASRC所有。

  注意事项 

***
最新chrome或Firefox内核下，图片粘贴提交目前有bug，可能粘贴一次会有两张图，直接提交即可不要删掉一张，否则会丢失图片；
在ASRC网站部分payload可能会被网站waf拦截导致提交的时候转圈圈读条提不了，可以适当分行分段，让审核看得懂即可；
ASRC站点若访问不稳定出错，可多刷新几次。

欢迎注册阿里云，开启上云之旅！新用户首购低至0.3折。