第二届阿里云RASP挑战赛开启

简介: 等你来参与~

RASP(Runtime Application Self-Protection)技术,通过在应用运行时检测攻击并进行应用保护,为应用提供安全防御。开发无需修改应用代码,只需在实例中安装应用防护探针,即可为应用提供强大的安全防护能力,并抵御绝大部分未知漏洞所使用的攻击手法。在大型攻防演练中,RASP广泛应用于系统的安全防御。
应用防护运行在应用程序内部,通过钩子(Hook)关键函数,实时监测应用在运行时与其他系统的交互过程。当应用出现可疑行为时,RASP会根据当前上下文环境识别并阻断攻击。
1.png
RASP已广泛应用于企业的安全建设中,是阻断入侵行为的一把好手。
为了促进安全对抗技术的发展,阿里云安全于2022年2月开启第一期RASP靶场绕过挑战赛,相关赛事得到了众多专家的支持。如今第二期RASP靶场挑战赛来啦,欢迎大家参与!

活动时间:2023年2月16日12:00 ~2月23日12:00
活动奖励:报告基础奖励为2000元/个有效报告,根据绕过程度会有浮动,具体见规则
提交方式:请在https://security.alibaba.com/online/detail?type=1&id=148&tab=1 报名并提交相关的报告,报名无需审核
活动规则详情:

  1. SQL注入

1.1 数据库版本
Mysql 8.0.31
Oracle 11g
Psql 12-alpine

mybatis框架,三种数据库的语句均如下,

2.png
1.2 得分规则
写入文件到 /usr/local/check 目录下(文件类型不限) -获得80%奖金
读取到数据库flag表中的文件内容 -获得100%奖金
成功系统命令touch /usr/local/check/XXX在/usr/local/check 目录下生成文件 -获得120%奖金
2.XXE
任意目录遍历 50%
读取到服务器上的/flag文件内容 100%
3.命令执行
包括log4j、ognl表达式注入、spel表达式注入、el表达式注入
读取到服务器上的/flag文件内容 60%
成功系统命令touch /usr/local/check/XXX在/usr/local/check 目录下生成文件 100%
4.反序列化
包括ois、fastjson两个环境
读取到服务器上的/flag文件内容 60%
成功系统命令touch /usr/local/check/XXX在/usr/local/check 目录下生产文件 100%
5.dependency信息

3.png
4.png

6.注意事项
● 报告需至少包含利用成功的Poc、token 信息、成功证明截图三部分信息
● 可将文档内容放到语雀中(http://www.yuque.com),提交到ASRC,语雀文档分享时,请选择【需要密码访问】,也可直接在ASRC的漏洞页面编写详情内容提交。
● 禁止伪造提交,我们会核实相关内容、活动规则较为复杂,请仔细查阅
● 禁止恶意攻击靶场,相关恶意攻击行为会导致奖金被取消、IP被封禁,并可能引起云的业务拉黑关联云账号,请不要进行绕过测试之外的恶意攻击行为

相关文章
|
云安全 安全
第二届WEBSHELL伏魔挑战赛开启报名
舞台已备好,等你来战!
1386 0
第二届WEBSHELL伏魔挑战赛开启报名
|
SQL Oracle 关系型数据库
SQL中,有效防止like的SQL注入,使用预编译SQL(?)写法
SQL中,有效防止like的SQL注入,使用预编译SQL(?)写法
581 0
|
安全 网络安全 数据安全/隐私保护
XSS 漏洞可能会带来哪些危害?
【10月更文挑战第26天】XSS漏洞可能会给网站和用户带来诸多严重危害
|
存储 安全 PHP
【文件上传绕过】——条件竞争漏洞
【文件上传绕过】——条件竞争漏洞
902 5
|
XML 移动开发 Java
流量分析之shiro、behinder
流量分析涉及Shiro和Behinder,揭示了HTTP流量模式。Shiro的Cookie值经过AES和Base64双重加密,可使用特定工具(如BTEAM-SHIRODECRYPTER)解密。分析中提到了使用TOP100密钥进行解密,并展示了部分解密内容,其中包括命令执行,如`c: cmd.exe`。关注点在于通过筛查包含"/admin/"的HTTP请求,追踪可能的黑客攻击。解密内容显示攻击者尝试在`/docs/3.jsp`写入webshell。通过进一步的流量筛选和解密,例如使用工具DecodeSomeJSPWebshell
695 3
流量分析之shiro、behinder
|
运维 关系型数据库 MySQL
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例
1227 1