今年4月,首届RASP挑战赛成功举办,赛事共吸引200多位安全专家与顶级白帽子参与,高额激励与真实对抗收获广泛认可,为RASP技术进化注入关键洞察。
时隔半年,腾讯云主机安全RASP能力迎来全新升级,第二届rasp挑战赛战火重燃,我们诚邀您再赴安全攻防盛宴,一起探索技术的极致,共铸云安全新标杆!
本届挑战赛全面升级
经典场景复现:反序列化、表达式注入场景再度开放。
新增四大场景:XXE、JDBC、SQL注入、内存马注入四大新场景加入挑战。
真实环境模拟:所有防护规则与生产环境一致,提供真实的攻防体验。
为了无限接近真实的网络攻防对抗。我们移除不必要的限制,只为一个目标:探索技术的极致,突破安全的边界。
参与方式
登录腾讯安全众测平台:https://zc.tencent.com。只需完成注册并实名认证,您就可以申请加入这个充满挑战与机遇的项目。在这里,您将与众多安全高手一同竞技,共同探索网络安全的奥秘。
活动时间
2025年10月13日10:00 - 10月20日10:00
⏳ 全程 7 天,攻防不眠!与时间赛跑,与对手较量,用您的实力和勇气,书写属于自己的安全传奇。
比赛规则
报告内容要求:报告中至少要包含成功证明、可直接复现的 PoC、利用手法介绍等信息。
报告认定方式: 按奖励规则认定报告给予奖励。
先到先得原则:对于同一种类型的绕过方式,以报告首次提交至平台的时间为准,后续提交的同类报告将被驳回。
报告保密条款:所有漏洞报告自提交之日起,设有3个月(90天)的保密期。期间严禁以任何形式对外公开报告内容、漏洞细节或PoC。保密期结束后,您可将其作为个人技术分享,但严禁用于任何商业用途或违法行为。
严禁破坏靶场:任何形式的破坏行为都是不可接受的,包括但不限于篡改环境配置、获取持久化访问权限等。一经发现,将立即取消参与资格,并收回已获得的全部积分与奖金。
禁止拒绝服务攻击:严禁对靶场环境发起DDoS、CC等任何形式的拒绝服务攻击。测试应专注于应用逻辑漏洞,而非系统可用性。
靶场维护声明:众测期间每晚12:00至次日凌晨3:00为固定的靶场维护时段,此期间服务可能不可用。如发现靶场环境异常、或有任何技术疑问,请在交流群中反馈。
最终解释权:本次活动所有规则及条款,最终解释权归平台方所有。
测试场景与奖励规则
1. 反序列化场景
测试接口:
Java原生反序列化
Fastjson反序列化
Jackson反序列化
奖励规则:
通过
执行系统命令获取/tmp/flag.txt内容得4000 元
2. 表达式注入场景
测试接口:
OGNL表达式注入
SpEL表达式注入
奖励规则:
通过
执行系统命令获取/tmp/flag.txt内容得3000 元
3. XXE场景
测试接口:
dom注入
dom4j注入
jdom2注入
sax注入
xerces注入
奖励规则:
通过
任意方式读取到/tmp/flag.txt内容得 1000 元
4. JDBC和SQL注入场景
测试接口:
mysql注入
postgres注入
oracle注入
奖励规则:
构造JDBC链接通过
任意方式读取到/tmp/flag.txt内容得 1000 元
构造JDBC链接通过
执行系统命令获取/tmp/flag.txt内容得 2000 元
构造SQL注入通过获取
数据库中flag内容得 2000 元
构造SQL注入通过
执行系统命令获取/tmp/flag.txt内容得 3000 元
5. 内存马注入
测试接口:
以上任意接口
奖励规则:
成功注入内存马,注入过程中
无文件落盘,并且不修改现有文件,得2000 元
申请免费体验
想要了解更多产品能力,欢迎扫描下方二维码申请腾讯云主机安全免费体验。在这里,您将亲身体验腾讯云主机安全的强大功能,感受我们为网络安全保驾护航的坚定决心。
⬇️ 点击【阅读原文】,登录腾讯安全众测平台参与挑战
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...