按照《第十二屆全國大學(xué)生信息安全競賽—創(chuàng)新實(shí)踐能力參賽規(guī)程與指南》分區(qū)選拔賽要求,創(chuàng)新實(shí)踐能力賽分區(qū)選拔賽階段的應(yīng)用場景開發(fā)需求分為PWN、Web 、Mobile應(yīng)用服務(wù)三類場景,賽隊(duì)需要根據(jù)場景開發(fā)的功能特性需求,選擇其中的一個(gè)場景,開發(fā)出符合所要求功能特性的安全應(yīng)用,并預(yù)設(shè)創(chuàng)新性的網(wǎng)絡(luò)安全挑戰(zhàn)(挑戰(zhàn)其他賽隊(duì)的網(wǎng)絡(luò)安全實(shí)踐能力),構(gòu)建出在分區(qū)選拔賽環(huán)節(jié)中使用的靶標(biāo)環(huán)境。
一、PWN應(yīng)用服務(wù)場景
1. 使用 C/C++ 源碼編譯 PWN 程序,不可使用其他語言,允許的編譯架構(gòu):X86-32、X86-64;
2. 設(shè)計(jì)的PWN 程序漏洞利用路線僅且只有一條,禁止預(yù)設(shè)多種獲取 flag 的途徑;
3. 需要根據(jù) PWN 程序編寫出相對應(yīng)的 check.py 腳本(檢查 PWN 程序是否正常工作)以及 exp.py 腳本(驗(yàn)證 PWN 程序漏洞是否可用);
4. 在 PWN 場景制作完成后需要提供測試視頻以驗(yàn)證 check.py 以及 exp.py 正常可用;
5. PWN 程序統(tǒng)一映射端口:8888,請勿修改此端口;
6. 詳細(xì)設(shè)計(jì)信息請參考附件:ciscn_PWN方向設(shè)計(jì)要求_2019.rar
鏈接:https://share.weiyun.com/5vTHsK4 密碼:jqrz55
二、Web應(yīng)用服務(wù)場景
1. 使用php/python/java/c#等常用編程語言實(shí)現(xiàn),運(yùn)行在Apache/Nginx/IIS/Weblogic等服務(wù)器,后端數(shù)據(jù)庫使用mysql/T-SQL/sqlite3/mongodb等;
2. 設(shè)計(jì)的WEB安全漏洞利用路線僅且只有一條,禁止預(yù)設(shè)多種獲取 flag 的途徑;
3. 需要根據(jù)WEB程序編寫出相對應(yīng)的 check.py 腳本(檢查 WEB服務(wù)是否正常工作)以及 exp.py 腳本(驗(yàn)證 PWN 程序漏洞是否可用);
4. 在WEB場景制作完成后需要提供測試視頻以驗(yàn)證 check.py 以及 exp.py 正常可用;
5. WEB服務(wù)統(tǒng)一映射端口:80,請勿修改此端口;
6. 詳細(xì)設(shè)計(jì)信息請參考附件:ciscn_WEB方向設(shè)計(jì)要求_2019.rar
鏈接:https://share.weiyun.com/5F53jtM 密碼:58vthe
三、Mobile應(yīng)用服務(wù)場景
1. APP使用Java等APP常用編程語言實(shí)現(xiàn),運(yùn)行于Android手機(jī)端;Web API接口使用php/python/java/c#等常用編程語言實(shí)現(xiàn),運(yùn)行在Apache/Nginx/IIS/Weblogic等服務(wù)器,后端數(shù)據(jù)庫使用mysql/T-SQL/sqlite3/mongodb等;
2. 設(shè)計(jì)的Web API接口安全漏洞利用路線僅且只有一條,禁止預(yù)設(shè)多種獲取 flag 的途徑;
3. 需要提供測試視頻以驗(yàn)證 check.py 以及 exp.py 正常可用;
4. Web API程序統(tǒng)一映射端口:8080,請勿修改此端口;
5. flag 存放于Web API服務(wù)器端`/flag`(Linux),`C: lag.txt`(Windows),并提供更新flag的命令(默認(rèn)flag請?jiān)O(shè)置為`flag{flag_test}`);
6. 確保在check服務(wù)正常的情況下,能夠修補(bǔ)漏洞;
7. 移動(dòng)端APP提供apk安裝包形式,與WEB API服務(wù)端的通信接口選手視情況選擇是否進(jìn)行加密。
8. 詳細(xì)設(shè)計(jì)信息請參考附件:ciscn_Mobile方向設(shè)計(jì)要求_2019.zip 。
鏈接:https://share.weiyun.com/549kQ7R 密碼:63h2pv
四、提交靶標(biāo)環(huán)境要求
1. 賽題環(huán)境請嚴(yán)格按照設(shè)計(jì)要求來設(shè)計(jì);
2. 晉級隊(duì)伍需要在5月6日24點(diǎn)前提交自行創(chuàng)新賽題的源碼、設(shè)計(jì)文檔、視頻演示、題目提示、exp腳本、check腳本等至技術(shù)委員會提供的郵箱,提交后將按照提交時(shí)間進(jìn)行編號,由技術(shù)委員會負(fù)責(zé)審核;
3. 參賽隊(duì)伍如若發(fā)現(xiàn)賽題存在問題,可在5月7日至5月10日向技術(shù)委員會申請更新賽題,每個(gè)隊(duì)伍僅允許更新一次賽題;賽題最終審核得分會根據(jù)賽題難度、題目創(chuàng)新性等多維度考量;
4. 5月6日前沒有提交且5月10日前才提交賽題者該環(huán)節(jié)得分將扣 5 分,不提交賽題的隊(duì)伍該環(huán)節(jié)得分為 0。賽題若存在高度雷同的情況下,將直接通報(bào)大賽組委會,該環(huán)節(jié)得分為 0。
提交截止時(shí)間:
2019年5月10日12:00分
提交途徑:
賽題內(nèi)容整體打包加密后,發(fā)送郵件和附件至:ciscn2019@126.com,請?jiān)卩]件標(biāo)題中標(biāo)明賽區(qū)、戰(zhàn)隊(duì)和場景類型(Pwn、Web、Mobile)。
附件加密密碼請短信發(fā)送至:18280233382 楊老師
注意: 各位同學(xué),在測試pwn的例題時(shí),如發(fā)現(xiàn)沒有運(yùn)行權(quán)限,可以刪除Dockerfile里第7到第16行,也可以把Dockerfile第18行挪到第6行。特此通知!
教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會
第十二屆全國大學(xué)生信息安全競賽—創(chuàng)新實(shí)踐能力賽技術(shù)委員會
電子科技大學(xué)信息與軟件工程學(xué)院
2019年4月26日