一、 大賽背景
為積極響應國家網(wǎng)絡空間安全人才戰(zhàn)略,加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐,提升學生攻防兼?zhèn)涞木W(wǎng)絡創(chuàng)新實踐能力,培養(yǎng)學生的創(chuàng)新意識與團隊合作精神,普及信息安全知識,增強學生信息安全意識,提高學生的網(wǎng)絡空間安全創(chuàng)新能力與實踐技能,推動網(wǎng)絡空間安全生態(tài)體系的人才培養(yǎng)和產學研用。
第十五屆全國大學生信息安全競賽-創(chuàng)新實踐能力賽面向全國高校在校生開放。本屆大賽按照在線注冊報名組隊、線上初賽選拔、分區(qū)賽和全國總決賽四個階段組織。
二、 報名時間
· 報名時間:
4月29日-5月20日
· 報名地址:
http://www.minghaohui.cn/competition/securityCompetition?compet_id=36
三、 初賽安排
時間 | 賽程 | |
5月27日 | 10:00-18:00 | 選手登錄平臺進行賽前測試 |
5月28日 | 9:00-11:00 | 知識問答環(huán)節(jié) |
11:00-19:00 | 場景實操環(huán)節(jié) | |
19:00-22:00 | 所有參賽戰(zhàn)隊提交當天WriteUp | |
5月29日 | 10:00-18:00 | 場景實操環(huán)節(jié) |
18:00-21:00 | 所有參賽戰(zhàn)隊提交當天WriteUp | |
大賽工作組將會在官方資格賽開賽前一天向成功報名的選手預留手機號中發(fā)送短信通知,請各參賽選手注意查收。屆時會通知比賽平臺開放的具體時間、參賽賬號和初始密碼(曾經(jīng)注冊過i春秋賬號的同學直接使用自己設置的密碼登錄),參賽選手可按短信中要求登錄平臺進行賬號測試。如未接收到相關短信,或在測試過程中遇到問題,請聯(lián)系大賽技術支持相關工作人員,聯(lián)系方式詳見本文底部。
四、 比賽地址
· 知識問答地址(5月27日對外開放):
https://knowledge.ichunqiu.com/2022dxs
· 場景實操地址(5月27日對外開放):
https://ctf.ichunqiu.com/2022dxs
五、 學習地址
為了各位參賽選手可以更好的備戰(zhàn)本次大賽,組委會特協(xié)調了免費的視頻學習和CTF實操資源,幫助大家鞏固技能,提升實戰(zhàn)能力,鍛煉賽事思維。
課程庫:https://www.ichunqiu.com/courses
CTF大本營:https://www.ichunqiu.com/competition
六、 賽制:知識問答+場景實操
線上初賽由大賽技術委員會命題,采用在線答題模式,題目覆蓋多種創(chuàng)新實踐能力基礎技能,由知識問答環(huán)節(jié)和場景實操環(huán)節(jié)兩部分組成。
· 知識問答環(huán)節(jié)說明
以單項選擇題和多項選擇題的方式考察,主要包括:意識形態(tài)安全、政策法規(guī)、安全防護、密碼學、等級保護、安全運維、移動安全、網(wǎng)絡安全、工業(yè)互聯(lián)網(wǎng)安全、數(shù)據(jù)庫安全、云安全、大數(shù)據(jù)安全、人工智能安全、可信計算等知識。
· 知識問答比賽規(guī)則
1. 知識問答環(huán)節(jié)共150道理論題,其中單選題120道,每題10分;多選題30道,每題10分。
2. 知識答題考試時間為2小時,如未在規(guī)定時間內參與答題則該環(huán)節(jié)得分為零。
3. 每道知識問答題目僅可提交一次答案,提交后自動跳轉至下一題,已經(jīng)提交的題目不支持修改答案。
4. 以個人為單位參賽,未參與答題的隊員成績?yōu)榱悖瑧?zhàn)隊知識問答環(huán)節(jié)得分為團隊內所有參賽隊員成績的平均分;
舉例:A戰(zhàn)隊共四人,四人知識問答環(huán)節(jié)得分分別為950、800、850、600,則該戰(zhàn)隊知識問答環(huán)節(jié)分數(shù)為(950+800+850+600)/4=800分
· 場景實操(CTF奪旗賽)環(huán)節(jié)說明
各參賽隊員登錄比賽地址,進入到比賽平臺,以隊伍為單位進行答題,每道賽題均內置1個flag。每道題目有不同的網(wǎng)絡或應用場景,參賽者需要采用在線操作或離線分析的方式,獲取到埋藏在題目中的特殊字符串(俗稱“flag”),通過在平臺提交正確的flag獲取得分。未提交或提交錯誤不得分。比賽結束后3小時內,參賽隊需提交每道賽題詳細的解題報告(WriteUp)。
· 場景實操考核范圍
賽題類型主要包括:Web安全、二進制漏洞挖掘利用、逆向分析與移動安全、密碼分析、安全編程等。
類型 | 主要考察范圍 |
Web安全 | 涉及SQL注入、XSS跨站腳本、CSRF跨站請求偽造、文件上傳、文件包含、框架安全、PHP 常見漏洞、代碼審計等 |
二進制 漏洞挖掘利用 | 涉及Linux平臺應用二進制漏洞挖掘與利用等 |
逆向分析與 移動安全 | 涉及 Windows、Linux、Android 平臺的多種編程技術,要求利用常用工具對源代碼及二進制文件進行逆向分析,掌握 Android 移動應用 APK 文件的逆向分析,掌握加解密、內核編程、算法、反調試和代碼混淆技術等 |
密碼學 | 涉及古典密碼學、現(xiàn)代密碼學、國密算法等,包括單表替換加密、多表替換加密、對稱加密、非對稱加密、哈希函數(shù)、數(shù)字簽名等 |
雜項 | 涉及信息搜集、編碼分析、取證分析、隱寫分析等 |
此外還添加了人工智能安全、IoT安全、工控安全、區(qū)塊鏈、車聯(lián)網(wǎng)、大數(shù)據(jù)、可信計算等考點。
· 場景實操計分方式
場景實操環(huán)節(jié)采用動態(tài)積分方式,即每一道題目初始分數(shù)相同(500分)。題目分值隨著解題隊伍數(shù)量的增加將隨之減少,且所有解出此題的隊伍所持有的分數(shù)都會動態(tài)減少。若題目沒有被成功解出,則題目分數(shù)保持不變。
譬如某賽題初始分值為500分,第一支解出該題目的戰(zhàn)隊將獲得500分。若陸續(xù)有隊伍解出該題目,則該題目的分數(shù)隨之減少,同時所有解出該題的隊伍得分都將會隨著題目的當前分值動態(tài)調整。
注:題目分數(shù)衰減公式為:
解出該題人數(shù)=0時:實時分數(shù) = 題目分數(shù)
解出該題人數(shù)>0時:實時分數(shù) = 題目分數(shù) * (1/(0.05*(解出該題的隊伍數(shù)+19)))」
七、 計分規(guī)則
戰(zhàn)隊最終得分 = (知識問答戰(zhàn)隊得分(平均分) / 知識問答最高分隊伍分數(shù)) * 20+ ( 場景實操該戰(zhàn)隊分數(shù) / 場景實操最高分) * 80。
八、 平臺操作說明——知識問答
· 平臺登錄界面
1. 【請輸入賬號,手機】處輸入:您在報名表中預留的參賽選手手機號;
2. 【請輸入密碼】處輸入:短信通知中的初始密碼或自行設置的密碼;
3. 【請輸入驗證碼】處輸入:右側圖案中數(shù)字及字母(不區(qū)分大小寫);
4. 點擊【登錄】即可進入答題界面;
注:如果忘記密碼可點擊登錄頁面中的“忘記密碼”選項,按提示找回密碼,如未能成功找回,可聯(lián)系技術支持工作人員進行找回,聯(lián)系方式詳見底部。
· 進入答題頁面
進入答題界面后,點擊“進入比賽”即可開始答題。比賽開始前所有人的參與狀態(tài)都是“未參與”。
· 開始答題
單選題:
多選題:
· 注意事項
1. 參賽選手需要在規(guī)定的時間(2H)內完成題目作答;
2. 知識問答環(huán)節(jié)單道題目不設置時間限制;
3. 已經(jīng)提交選項的題目不可修改答案;
4. 截至比賽結束,選手未點擊【交卷】,則系統(tǒng)會自動提交試卷。
九、 平臺操作說明——場景實操
· 平臺登錄界面
1. 【請輸入賬號,手機】處輸入:您在報名表中預留的參賽選手手機號;
2. 【請輸入密碼】處輸入:輸入短信通知中的初始密碼或自行設置的密碼;
3. 【請輸入驗證碼】處輸入:右側圖案中數(shù)字及字母(不區(qū)分大小寫);
4. 點擊【登錄】即可進入答題界面;
注:如果忘記密碼可點擊登錄頁面中的“忘記密碼”選項,按提示找回密碼,如未能成功找回,可聯(lián)系平臺技術支持工作人員進行找回,聯(lián)系方式詳見底部。
· 題目列表
注:以上圖片為示例,非本次比賽題目
點擊題目即可進入獲得題目信息
如上圖所示,在賽題詳情頁面可以查看賽題信息、啟動環(huán)境以及提交賽題Flag。
參賽團隊通過漏洞挖掘與利用、代碼分析等方式,從題目環(huán)境中得到一串具有一定格式的字符串或其他內容,并將其在平臺上提交,經(jīng)平臺驗證正確后方可獲得該題目分值。
· 黑燈模式
5月29日,比賽結束前最后一小時進入“黑燈搏殺”模式,屆時觀戰(zhàn)界面的排行榜不展示,選手答題頁面的排名、得分、攻克題目數(shù)等也不展示,比賽結束后恢復正常模式。
在比賽最后一小時,每個隊伍只有2次提交正確flag的機會,每提交一次正確flag扣除一次,提交錯誤flag不扣除次數(shù)。特別的是,提交0解題的正確flag后不扣除次數(shù)。次數(shù)為0時,不允許再提交非0解題的flag。所有0解題的題目名將在比賽公告里實時公布。
· 注意事項
1. 關于Docker容器下發(fā):每個隊伍同時只能下發(fā)一個容器。請由成功申請下發(fā)容器的隊員,用自己的賬號提交flag。容器下發(fā)后,如訪問不到地址請稍候重試刷新,如果提示錯誤可稍后再重新申請下發(fā)。
2. 比賽過程中禁止跨戰(zhàn)隊交流解題思路、答案等賽題相關內容。比賽過程中各戰(zhàn)隊需保護好自己戰(zhàn)隊的唯一標識token(根據(jù)題目需要下發(fā)),不得將戰(zhàn)隊token、容器地址等信息分享到戰(zhàn)隊以外。也禁止從其他戰(zhàn)隊獲取任何和題目相關的內容。
3. 28日場景實操題目在當天比賽結束后不可繼續(xù)提交flag,若繼續(xù)提交也不計入總分數(shù)。
4. WriteUp提交時間:每天比賽結束后3小時內請所有參賽戰(zhàn)隊提交場景實操題目的解題思路(WriteUp),不提交或逾時提交者自動放棄晉級資格。提交方式為PDF文件。
5. 大賽采用動態(tài)flag反作弊、IP漂移監(jiān)控、流量鏡像分析等監(jiān)控技術,發(fā)現(xiàn)比賽作弊或對比賽平臺攻擊行為,將采取禁賽、直接取消比賽成績等處罰措施,情節(jié)嚴重者將通報賽隊所在高校。
6. 比賽自開始至結束除了和裁判組單線溝通外,禁止參賽選手以任何形式、在任何場合交流、討論賽題及解題思路。一經(jīng)發(fā)現(xiàn)組委會有權取消其比賽成績,情節(jié)嚴重者通報學校。
八、聯(lián)系我們
· 官方QQ群
QQ群號 | 群名稱 |
141631112 | 第15屆信安創(chuàng)新實踐賽指導教師群 |
243917099 | 第15屆信安創(chuàng)新實踐賽學生群I |
926439429 | 第15屆信安創(chuàng)新實踐賽學生群II |
925500356 | 第15屆信安創(chuàng)新實踐賽學生群III |
924097572 | 第15屆信安創(chuàng)新實踐賽學生群Ⅳ |
· 大賽聯(lián)系人:
老師 | 電話 | 郵箱 |
劉老師 | 13212115916 | liuzheli@nankai.edu.cn |
王老師 | 13920111530 | zwang@nankai.edu.cn |
李老師 | 18222095688 | lizhongwei@nankai.edu.cn |
賈老師 | 18700452417 | jiay@nankai.edu.cn |
· 線上初賽技術支持聯(lián)系方式:
QQ號碼 | QQ名 |
2468652857 | 春秋GAME-技術支持 |
3285327400 | 春秋GAME-技術支持-果子 |
1992243669 | 春秋GAME-技術支持-沙月 |
2024777069 | 春秋GAME-技術支持-五條 |
3293637639 | 春秋GAME-線上賽平臺支持2號 |
190565394 | 春秋GAME-運營支持-Tracy |
預祝各位參賽選手取得好成績!
第十五屆全國大學生信息安全競賽創(chuàng)新實踐能力賽組委會
2022年5月