一.大賽背景
為積極響應(yīng)國家網(wǎng)絡(luò)空間安全人才戰(zhàn)略,加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐,提升學(xué)生攻防兼?zhèn)涞木W(wǎng)絡(luò)創(chuàng)新實踐能力,培養(yǎng)學(xué)生的創(chuàng)新意識與團隊合作精神,普及信息安全知識,增強學(xué)生信息安全意識,提高學(xué)生的網(wǎng)絡(luò)空間安全創(chuàng)新能力與實踐技能,推動網(wǎng)絡(luò)空間安全生態(tài)體系的人才培養(yǎng)和產(chǎn)學(xué)研用。由西安理工大學(xué)承辦、北京易霖博公司提供平臺技術(shù)支撐的第十五屆全國大學(xué)生信息安全競賽—創(chuàng)新實踐能力賽西北賽區(qū)選拔賽即將舉行。
二.時間安排
2022年6月17日 09:00-18:00,西安理工大學(xué) | |
主持人:王一川 西安理工大學(xué) (騰訊會議:398-515-154 密碼:0617) | |
09:00-11:00 | 騰訊會議簽到,郵件發(fā)送賬號和密碼 |
11:00-12:00 | 驗證賬號密碼 |
15:00-18:00 | 平臺測試 (ctf.51elab.com) |
2022年6月18日開幕式 8:40-9:00, 西安理工大學(xué) | |
主持人:王一川,西安理工大學(xué) 計算機科學(xué)與工程學(xué)院 | |
8:00-8:40 | 線上騰訊會議視頻簽到(出示學(xué)生證)、參賽隊員進入比賽區(qū) |
8:40-8:50 | 介紹本次比賽情況和嘉賓 |
8:50-8:55 | 領(lǐng)導(dǎo)致辭 李軍懷 西安理工大學(xué)計算機科學(xué)與工程學(xué)院院長 |
8:55-9:00 | 黑新宏教授 宣讀比賽規(guī)則并宣布比賽開始 學(xué)科帶頭人 |
9:00-17:00 | CTF比賽(ctf.51elab.com) |
17:00-18:00 | 解題思路分享 |
18:05 | 結(jié)束 |
注:6月17為測試,6月18為正式比賽
三.競賽模式
由于疫情防控原因,西北分賽區(qū)此次競賽將采用線上“奪旗賽”(CTF)賽制,分區(qū)賽由大賽技術(shù)委員會命題,采用在線答題模式,題目覆蓋WEB安全、PWN、MISC、CRYPTO、REVERSE等題目若干。
CTF奪旗賽說明
各參賽隊員登錄比賽地址,進入到比賽平臺,以隊伍為單位進行答題,每道賽題均內(nèi)置1個flag。每道題目有不同的網(wǎng)絡(luò)或應(yīng)用場景,參賽者需要采用在線操作或離線分析的方式,獲取到埋藏在題目中的特殊字符串(俗稱“flag”),通過在平臺提交正確的flag獲取得分。未提交或提交錯誤不得分。比賽結(jié)束后3小時內(nèi),參賽隊需提交每道賽題詳細的解題報告(WriteUp)。
CTF奪旗賽考核范圍
賽題類型主要包括:Web安全、二進制漏洞挖掘利用、逆向分析與移動安全、密碼分析、安全編程等。
類型和主要考察范圍如下
Web安全:涉及SQL注入、XSS跨站腳本、CSRF跨站請求偽造、文件上傳、文件包含、框架安全、PHP 常見漏洞、代碼審計等
二進制漏洞挖掘利用:涉及Linux平臺應(yīng)用二進制漏洞挖掘與利用等
逆向分析與移動安全:涉及 Windows、Linux、Android 平臺的多種編程技術(shù),要求利用常用工具對源代碼及二進制文件進行逆向分析,掌握 Android 移動應(yīng)用 APK 文件的逆向分析,掌握加解密、內(nèi)核編程、算法、反調(diào)試和代碼混淆技術(shù)等
密碼學(xué):涉及古典密碼學(xué)、現(xiàn)代密碼學(xué)、國密算法等,包括單表替換加密、多表替換加密、對稱加密、非對稱加密、哈希函數(shù)、數(shù)字簽名等
雜項:涉及信息搜集、編碼分析、取證分析、隱寫分析等
計分說明
CTF奪旗賽采用累積計分方式,即每一道題目分數(shù)根據(jù)難易度不通分值也不同,100至500分不等,每道題有三血獎勵,第一名解出該題,額外獎勵5%分值,第二名3%,第三名1%。
例如一道100分的題目,第一名解出這道題獲得分數(shù)為:100(題目分值)+100*5%(額外獎勵)=105總分。
四.競賽平臺說明
1、平臺登錄界面
登錄比賽平臺 通過分配的競賽用戶名及競賽密碼進行分區(qū)賽平臺登錄(每個隊伍的用戶名及密碼將于6月16日22:00前發(fā)到領(lǐng)隊個人郵箱)。
【請輸入賬號】處輸入:您在報名表中預(yù)留的參賽選手用戶名;
【請輸入密碼】處輸入:輸入初始密碼或自行設(shè)置的密碼;
【請輸入驗證碼】處輸入:右側(cè)圖案中數(shù)字及字母(不區(qū)分大小寫);
點擊【登錄】即可進入答題界面;
注:如果忘記密碼可聯(lián)系平臺技術(shù)支持工作人員進行找回。
2、賽事選擇
選擇賽事—點擊進入;
2、選擇【查看賽項】進入到對應(yīng)比賽場景;
3、題目關(guān)卡列表
注:以上圖片為示例,非本次比賽題目
點擊題目即可進入獲得題目信息
注:以上圖片為示例,非本次比賽題目
如上圖所示,在賽題詳情頁面可以查看賽題信息、啟動環(huán)境以及提交賽題Flag。
參賽團隊通過漏洞挖掘與利用、代碼分析等方式,從題目環(huán)境中得到一串具有一定格式的字符串或其他內(nèi)容,并將其在平臺上提交,經(jīng)平臺驗證正確后方可獲得該題目分值且提供三血加成。
五、注意事項
1.關(guān)于Docker容器下發(fā):每個隊伍同時只能下發(fā)一個容器。下發(fā)成功后隊伍成員共同訪問題目答題。容器下發(fā)后,如訪問不到地址請稍候重試刷新,如果提示錯誤可稍后再重新申請下發(fā)。
2.比賽過程中禁止跨戰(zhàn)隊交流解題思路、答案等賽題相關(guān)內(nèi)容。比賽過程中各戰(zhàn)隊需保護好自己戰(zhàn)隊的容器地址等信息,禁止分享到戰(zhàn)隊以外,也禁止從其他戰(zhàn)隊獲取任何和題目相關(guān)的內(nèi)容。
3.比賽結(jié)束后不可繼續(xù)提交flag,若繼續(xù)提交也不計入總分數(shù)。
4.WriteUp提交時間:每天比賽結(jié)束后3小時內(nèi)請所有參賽戰(zhàn)隊提交場景實操題目的解題思路(WriteUp),不提交或逾時提交者自動放棄晉級資格。提交方式為PDF文件。將所有題目的解題思路整理成一個PDF文檔由隊長提交,writeup命名規(guī)則: 戰(zhàn)隊名稱.pdf
5.大賽采用動態(tài)flag反作弊、IP監(jiān)控、流量鏡像分析等監(jiān)控技術(shù),發(fā)現(xiàn)比賽作弊或?qū)Ρ荣惼脚_攻擊行為,將采取禁賽、直接取消比賽成績等處罰措施,情節(jié)嚴重者將通報賽隊所在高校。
6.比賽自開始至結(jié)束除了和裁判組單線溝通外,禁止參賽選手以任何形式、在任何場合交流、討論賽題及解題思路。一經(jīng)發(fā)現(xiàn)組委會有權(quán)取消其比賽成績,情節(jié)嚴重者通報學(xué)校。
7.參賽選手安裝相關(guān)錄屏軟件,請選手提前下載安裝并測試。比賽結(jié)束后,排名前10的隊伍需要將本人的錄屏視頻及WP上傳上傳至百度云(視頻文件命名:隊伍名稱+選手姓名.mp4,鏈接分享給組委會),其他隊伍選手則需要保留錄制視頻48小時以供組委會抽查。
8.比賽期間參賽院校通過騰訊會議視頻全程對參賽選手答題進行錄制,選擇安靜環(huán)境的房間進行視頻,參賽選手比賽期間不得擅自互換、離開比賽工位,比賽過程中發(fā)現(xiàn)任何問題,應(yīng)當(dāng)通過騰訊會議打字匯報工作人員,由工作人員進行解答或處理。
9.大賽采用動態(tài)flag反作弊、IP監(jiān)控、流量鏡像分析等監(jiān)控技術(shù),發(fā)現(xiàn)比賽作弊或?qū)Ρ荣惼脚_攻擊行為,將采取禁賽、直接取消比賽成績等處罰措施,情節(jié)嚴重者將通報賽隊所在高校。
10.通過登錄互聯(lián)網(wǎng)平臺地址進行答題,但不能在網(wǎng)絡(luò)上搜索跟比賽相關(guān)的任何東西,本地電腦上的資料是可以查看的,不能跟其他人相互通過網(wǎng)絡(luò)進行溝通,所有選手均需要答題錄屏,事后會進行審計檢查。
五.聯(lián)系方式及聯(lián)系人
信安大賽-西北賽區(qū)QQ群(695235440)
聯(lián)系人電話:
劉老師:18191133508
王 宏: 15011466199(易霖博)
第十五屆全國大學(xué)生信息安全競賽-創(chuàng)新實踐能力賽組委會
第十五屆全國大學(xué)生信息安全競賽-創(chuàng)新實踐能力賽西北組委會
(承辦單位:西安理工大學(xué) 計算機科學(xué)與工程學(xué)院)
2022年06月15日
1_第十五屆全國大學(xué)生信息安全競賽 創(chuàng)新實踐能力賽-參賽通知-西北賽區(qū).pdf