今年4月,首届RASP挑战赛成功举办,赛事共吸引200多位安全专家与顶级白帽子参与,高额激励与真实对抗收获广泛认可,为RASP技术进化注入关键洞察。
时隔半年,腾讯云主机安全RASP能力迎来全新升级,第二届rasp挑战赛战火重燃,我们诚邀您再赴安全攻防盛宴,一起探索技术的极致,共铸云安全新标杆!
本届挑战赛全面升级
- 经典场景复现:反序列化、表达式注入场景再度开放。 
- 新增四大场景:XXE、JDBC、SQL注入、内存马注入四大新场景加入挑战。 
- 真实环境模拟:所有防护规则与生产环境一致,提供真实的攻防体验。 
为了无限接近真实的网络攻防对抗。我们移除不必要的限制,只为一个目标:探索技术的极致,突破安全的边界。
参与方式
登录腾讯安全众测平台:https://zc.tencent.com。只需完成注册并实名认证,您就可以申请加入这个充满挑战与机遇的项目。在这里,您将与众多安全高手一同竞技,共同探索网络安全的奥秘。
活动时间
2025年10月13日10:00 - 10月20日10:00
⏳ 全程 7 天,攻防不眠!与时间赛跑,与对手较量,用您的实力和勇气,书写属于自己的安全传奇。
比赛规则
- 报告内容要求:报告中至少要包含成功证明、可直接复现的 PoC、利用手法介绍等信息。 
- 报告认定方式: 按奖励规则认定报告给予奖励。 
- 先到先得原则:对于同一种类型的绕过方式,以报告首次提交至平台的时间为准,后续提交的同类报告将被驳回。 
- 报告保密条款:所有漏洞报告自提交之日起,设有3个月(90天)的保密期。期间严禁以任何形式对外公开报告内容、漏洞细节或PoC。保密期结束后,您可将其作为个人技术分享,但严禁用于任何商业用途或违法行为。 
- 严禁破坏靶场:任何形式的破坏行为都是不可接受的,包括但不限于篡改环境配置、获取持久化访问权限等。一经发现,将立即取消参与资格,并收回已获得的全部积分与奖金。 
- 禁止拒绝服务攻击:严禁对靶场环境发起DDoS、CC等任何形式的拒绝服务攻击。测试应专注于应用逻辑漏洞,而非系统可用性。 
- 靶场维护声明:众测期间每晚12:00至次日凌晨3:00为固定的靶场维护时段,此期间服务可能不可用。如发现靶场环境异常、或有任何技术疑问,请在交流群中反馈。 
- 最终解释权:本次活动所有规则及条款,最终解释权归平台方所有。 
测试场景与奖励规则
1. 反序列化场景
测试接口:
- Java原生反序列化 
- Fastjson反序列化 
- Jackson反序列化 
奖励规则:
- 通过 - 执行系统命令获取- /tmp/f- lag- .txt内容得4000 元
2. 表达式注入场景
测试接口:
- OGNL表达式注入 
- SpEL表达式注入 
奖励规则:
- 通过 - 执行系统命令获取- /tmp/flag.txt内容得3000 元
3. XXE场景
测试接口:
- dom注入 
- dom4j注入 
- jdom2注入 
- sax注入 
- xerces注入 
奖励规则:
- 通过 - 任意方式读取到- /tmp/flag.txt内容得 1000 元
4. JDBC和SQL注入场景
测试接口:
- mysql注入 
- postgres注入 
- oracle注入 
奖励规则:
- 构造JDBC链接通过 - 任意方式读取到- /tmp/flag.txt内容得 1000 元
- 构造JDBC链接通过 - 执行系统命令获取- /tmp/flag.txt内容得 2000 元
- 构造SQL注入通过获取 - 数据库中- flag内容得 2000 元
- 构造SQL注入通过 - 执行系统命令获取- /tmp/flag.txt内容得 3000 元
5. 内存马注入
测试接口:
- 以上任意接口 
奖励规则:
- 成功注入内存马,注入过程中 - 无文件落盘,并且- 不修改现有文件,得2000 元
申请免费体验
想要了解更多产品能力,欢迎扫描下方二维码申请腾讯云主机安全免费体验。在这里,您将亲身体验腾讯云主机安全的强大功能,感受我们为网络安全保驾护航的坚定决心。
⬇️ 点击【阅读原文】,登录腾讯安全众测平台参与挑战
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……



 
		 
		 
		 
		

还没有评论,来说两句吧...