【参赛有奖】云原生编程挑战赛·赛道 2 邀你来战！

第四届云原生编程挑战赛，是由阿里云主办，云原生应用平台、天池联合承办的云原生著名品牌赛事。自 2015 年开始，大赛已经成功举办了八届，并从 2020 年开始升级为首届云原生编程挑战赛，共吸引了超过 53000 支队伍，覆盖 10 余个国家和地区。本届大赛将深度探索 Serverless、容器、微服务三大热门领城， 为热爱技术的年轻人提供一个挑战云原生技术问题的舞台，希望用技术为全社会创造更大价值。大家赶快参赛吧！

参与赛道 2 挑战，瓜分 120,000 元现金奖励

本次大赛面向全球开放，大赛分为初赛和决赛，各赛道初赛 TOP6 战队入围决赛答辩。最终排行将根据初赛及决赛答辩成绩综合得出。

奖项设置

赛道有奖活动，好礼送不停

提交评测有奖活动

1、大赛评测期间，指定时间点赛道一、赛道二排行榜中尾号带有幸运数字的团队，赠送天猫精灵 1 个。 （具体时间可查看赛制详情页）

2、赛道一、赛道二提交 A 榜评测，并在排行榜出分的送手，赠送阿里云定制保温杯一个！

3、赛道一、赛道二提交 B 榜评测，并在排行榜出分的选手，赠送阿里云定制雨伞一把！

【有奖训练营】

邀请赛道 2 明星导师为您深度解析赛题内容和难点，0 基础入门，快速 get 参赛技能。完成打卡任务即可领取官方定制荣誉证书和阿里云定制鸭舌帽！

点击立即报名参营：https://developer.aliyun.com/trainingcamp/dec885be1c8048a5b365f3b7d73309ba

【体验有奖】大赛动手体验活动

活动期间（7.24-8.18），报名大赛并完成动手实验活动，即可领取阿里云定制精美鸭舌帽一个！礼品有限，先到先得，快来体验吧！

点击立即参加：https://edu.aliyun.com/learning/topic/series/mse

赛题解析

赛题背景

Higress 是阿里云开源的下一代云原生网关项目，以 Envoy+Istio 为内核，遵循开源 Ingress/Gateway API 标准，实现了流量网关 + 微服务网关 + 安全网关三合一的高集成能力。

Higress 具有强大的插件扩展机制，WASM 插件为主要的开发形式。Higress 提供了插件市场，网关的二次扩展功能均通过插件提供给用户按需使用。用户通过在控制台配置 WASM 插件，实现插件的热更新，并且对流量无损，如下图所示。

此外 WASM 插件在沙盒中执行，对网关自身稳定性无影响。如果用户希望根据自身业务自己开发插件，Higress 也提供了 C++/Go/Rust 插件开发框架，用户可以自由选择语言编写 WASM 插件。

题目解析

本次赛题就是希望参赛者基于 WASM 实现 Higress 网关安全防护插件，插件需要实现以下三个功能：IP 黑名单、WAF 规则防护、CC 防护。

IP 黑名单要求插件通过配置文件读取IP黑名单列表，为测试方便起见，插件逻辑需要通过 x-real-ip 请求头识别客户端 IP，并查询 IP 黑名单是否命中规则。如果命中规则，需要返回 403 状态码，同时应答为 "denied by ip"。

CC 防护要求插件通过配置文件读取 CC 防护规则，通过 header 或者 cookie 识别调用方，通过 QPS、QPM 等限制调用方访问次数，当调用方访问次数超出限制时，根据配置规则对调用方进行屏蔽。如果命中规则，需要返回 403 状态码，同时应答为 "denied by cc"。

WAF 规则防护对插件配置不做要求；会使用 OWASP 测试集（涵盖 SQL 注入，XSS 攻击，SHELL 注入等）模拟攻击进行防护能力测试，如果命中规则，需要返回 403 状态码，同时应答为 "denied by waf"。

解题思路

IP 黑名单功能可以基于哈希表实现，考虑到 IP 列表较多时哈希表占用内存空间较多，参赛者也可以使用基数树来优化内存占用。

CC 防护功能可以基于限流算法如令牌桶来实现，借助于 WASM SDK 中提供的 SharedQueue 可以实现不同 worker 线程间的同步。

赛题组提供了一个实现了 WAF 防护功能的实例插件，参赛者可以在此基础上进行修改，该插件借助于 Coraza 和 OWASP CRS 实现，处理流程与 ModSecurity 一致，如下图所示：

参赛者也可以充分发挥创意，增加更多实用的功能，实现综合能力更高的插件，例如：

• IP 黑名单功能支持 ipv6
• 使用 C++/Rust 实现插件以获得更高的性能
• ……

请尽情发挥您的聪明才智，解决上述一项或多项挑战，基于 Higress 插件扩展机制打造 WEB 安全防护能力！

点击此处，立即报名！