本次活动为阿里云新产品边缘安全加速（Edge Security Acceleration，ESA）下WAF功能挑战赛。ESA（产品官网）是新一代的边缘安全加速产品，是DCDN的一次全面升级，集加速、安全、计算为一体。

本次比赛仅测试WAF功能，提供靶场目标，无需自行开通相关产品功能。

报名时间：2024.9.12 - 2024.10.12

比赛时间：2024.9.21 - 2024.10.12

不限制

靶场地址：比赛正式开始时在此活动页面和活动群公布，报名成功后见最下方活动细则处

说明：测试前需要先到靶场首页简单注册获取专属token，每个靶场地址都需要通过get传入这个token

赛道一：XSS挑战赛

挑战成功定义：需在 Chrome/Firefox 浏览器最新 Stable 版本下，绕过靶场防御在相关域名环境中成功执行alert/confirm/prompt 函数

注意：若调用URL在非目标域执行函数不在范围

挑战范围：get型、post型、交互类xss均算有效

赛道二：SQL挑战

挑战成功定义：绕过靶场读取到数据库中的flag内容

注意：仅引发报错，而没有获取到flag的情况，会判定无效

1.每个有效的绕过报告，我们会给予1000元的奖励，同类手法以时间较早的提交者为准

2.最终排名按有效报告数量，Top 3还将获得精美礼品

3.本次活动设立最高奖励池10万元，超出后的报告不再提供现金奖励，仅积分奖励

报名和提交

请登录ASRC网站，在任务页面报名成功后，在任务页面提交漏洞：

链接：https://security.alibaba.com/online/detail?id=176

报告请务必从此页面提交，若报告内容过多或POC无法方便提交，可通过语雀文档加密分享，并在漏洞详情处提供分享链接和密码

报告需包含四要素，样例：

1.复现方式：包括但不仅限于工具、脚本

2.PoC：如xxxxx.com/uploadfile、xxxxx.com/injection?cmd=cat /etc/passwd

3.一两句话简单描述原理：如利用xxx方式绕过检测达成OS命令注入绕过、利用xxx方式绕过检测达成OS命令注入绕过

4.执行结果截图证明：（图）

1.如同时有多个选手提交了重复的绕过手法，奖金以最先提交的选手为准

2.禁止修改靶场环境的代码/配置等信息，一旦发现取消全部绕过奖金

2.一种绕过适用多个靶场的情况，会被判定为同种绕过，如一种绕过通杀2个靶场，那么会按一个有效绕过判定

3.禁止入侵、DDOS、物理入侵靶场站点

4.禁止攻击选手和裁判（如蠕虫/钓鱼等）

5.不能私自公布报告及payload，需与ASRC沟通

6.本次挑战赛最终解释权归ASRC所有

欢迎加入比赛钉钉群，任何答疑可咨询管理员，或搜索钉钉群号：102895002822 加入。