战火重燃！第二届腾讯云安全RASP挑战赛邀您来战！

邀您来挑战!

腾讯云主机安全RASP能力全新升级

今年4月,首届RASP挑战赛成功举办,赛事共吸引200多位安全专家与顶级白帽子参与，高额激励与真实对抗收获广泛认可，为RASP技术进化注入关键洞察。

时隔半年，腾讯云主机安全RASP能力迎来全新升级，第二届rasp挑战赛战火重燃，我们诚邀您再赴安全攻防盛宴，一起探索技术的极致，共铸云安全新标杆！

本届挑战赛全面升级

• 经典场景复现：反序列化、表达式注入场景再度开放。
• 新增四大场景：XXE、JDBC、SQL注入、内存马注入四大新场景加入挑战。
• 真实环境模拟：所有防护规则与生产环境一致，提供真实的攻防体验。

为了无限接近真实的网络攻防对抗。我们移除不必要的限制，只为一个目标：探索技术的极致，突破安全的边界。

参与方式

登录腾讯安全众测平台：https://zc.tencent.com 。只需完成注册并实名认证，您就可以申请加入这个充满挑战与机遇的项目。在这里，您将与众多安全高手一同竞技，共同探索网络安全的奥秘。

活动时间

2025年10月13日10:00 - 10月20日10:00

⏳ 全程 7 天，攻防不眠！与时间赛跑，与对手较量，用您的实力和勇气，书写属于自己的安全传奇。

比赛规则

• 报告内容要求：报告中至少要包含 成功证明、可直接复现的 PoC、利用手法介绍等信息。
• 报告认定方式： 按奖励规则认定报告给予奖励。
• 先到先得原则：对于同一种类型的绕过方式，以报告首次提交至平台的时间为准，后续提交的同类报告将被驳回。
• 报告保密条款：所有漏洞报告自提交之日起，设有3个月（90天）的保密期。期间严禁以任何形式对外公开报告内容、漏洞细节或PoC。保密期结束后，您可将其作为个人技术分享，但严禁用于任何商业用途或违法行为。
• 严禁破坏靶场：任何形式的破坏行为都是不可接受的，包括但不限于篡改环境配置、获取持久化访问权限等。一经发现，将立即取消参与资格，并收回已获得的全部积分与奖金。
• 禁止拒绝服务攻击：严禁对靶场环境发起DDoS、CC等任何形式的拒绝服务攻击。测试应专注于应用逻辑漏洞，而非系统可用性。
• 靶场维护声明：众测期间每晚12:00至次日凌晨3:00为固定的靶场维护时段，此期间服务可能不可用。如发现靶场环境异常、或有任何技术疑问，请在交流群中反馈。
• 最终解释权：本次活动所有规则及条款，最终解释权归平台方所有。

测试场景与奖励规则

1. 反序列化场景

测试接口：

• Java原生反序列化
• Fastjson反序列化
• Jackson反序列化

奖励规则：

• 通过执行系统命令获取/tmp/flag.txt内容得 4000 元

2. 表达式注入场景

测试接口：

• OGNL表达式注入
• SpEL表达式注入

奖励规则：

• 通过执行系统命令获取/tmp/flag.txt内容得 3000 元

3. XXE场景

测试接口：

• dom注入
• dom4j注入
• jdom2注入
• sax注入
• xerces注入

奖励规则：

• 通过任意方式读取到/tmp/flag.txt内容得 1000 元

4. JDBC和SQL注入场景

测试接口：

• mysql注入
• postgres注入
• oracle注入

奖励规则：

• 构造JDBC链接通过任意方式读取到/tmp/flag.txt内容得 1000 元
• 构造JDBC链接通过执行系统命令获取/tmp/flag.txt内容得 2000 元
• 构造SQL注入通过获取数据库中 flag内容得 2000 元
• 构造SQL注入通过执行系统命令获取/tmp/flag.txt内容得 3000 元

5. 内存马注入

测试接口：

• 以上任意接口

奖励规则：

• 成功注入内存马，注入过程中无文件落盘，并且不修改现有文件，得 2000 元

申请免费体验

想要了解更多产品能力，欢迎扫描下方二维码申请腾讯云主机安全免费体验。在这里，您将亲身体验腾讯云主机安全的强大功能，感受我们为网络安全保驾护航的坚定决心。

扫码申请免费体验

图片

END

⬇️ 点击【阅读原文】，登录腾讯安全众测平台参与挑战