本次創(chuàng)新實(shí)踐能力賽決賽階段的應(yīng)用場景開發(fā)需求分為二進(jìn)制網(wǎng)絡(luò)服務(wù)、Web 應(yīng)用服務(wù)兩類場景,賽隊(duì)需要根據(jù)場景開發(fā)的功能特性需求,選擇其中的一個(gè)場景,開發(fā)出符合所要求功能特性的安全應(yīng)用,并預(yù)設(shè)創(chuàng)新性的網(wǎng)絡(luò)安全挑戰(zhàn)(挑戰(zhàn)
其他賽隊(duì)的網(wǎng)絡(luò)安全實(shí)踐能力),構(gòu)建出在決賽階段賽時(shí)環(huán)節(jié)中使用的靶標(biāo)環(huán)境。
一、二進(jìn)制網(wǎng)絡(luò)服務(wù)PWN場景(消息隊(duì)列實(shí)現(xiàn)RPC服務(wù))
1. 基于消息隊(duì)列實(shí)現(xiàn)RPC服務(wù),例如啟動后臺程序完成耗時(shí)長的功能等,將
Web、App的后端任務(wù)執(zhí)行部分分離,將服務(wù)器壓力分散,類似的有`rabbitmq`等。
2. 實(shí)現(xiàn)能通過Checker程序檢查的服務(wù)程序(比賽時(shí)二進(jìn)制程序提供給參賽隊(duì)),確保基本功能完整(服務(wù)程序python實(shí)現(xiàn)示例`service_example.py`);
3. 必須包含預(yù)設(shè)的安全漏洞(創(chuàng)新性安全挑戰(zhàn)即為對預(yù)設(shè)安全漏洞的某種檢測和利用技巧),不限制漏洞類型;
4. 采用C/C++語言實(shí)現(xiàn),提供源碼和編譯環(huán)境,編譯運(yùn)行在x64或ARM或MIPS架構(gòu)上;
5. 服務(wù)端又統(tǒng)一為`1337`,請不要使用其他端口。
附件:Checker程序(包含服務(wù)程序Python示例),出題格式要求模板
附件下載地址:鏈接:https://share.weiyun.com/5aQdmE0 密碼:2mj8kj
二、Web應(yīng)用服務(wù)場景(電子商城限時(shí)搶購活動)
1. 實(shí)現(xiàn)電子商場Web應(yīng)用,其中必須包含有限時(shí)搶購活動,比賽時(shí)Web訪問URL 提供給參賽隊(duì)。
2. 所實(shí)現(xiàn)的基本功能要求包括:用戶注冊、用戶登錄、找回密碼/修改密碼;推薦其他用戶注冊并獲得積分獎(jiǎng)勵(lì);電子商場顯示若干商品,用戶可選購商品進(jìn)入購物車,使用積分結(jié)賬購物;每小時(shí)限時(shí)搶購秒殺活動
3. 用戶注冊、登錄和找回密碼功能需要實(shí)現(xiàn)人機(jī)識別驗(yàn)證碼的特性,其中人機(jī)識別驗(yàn)證碼必須采用附件中的驗(yàn)證碼數(shù)據(jù)集;
4. 采用PHP/Python/Java等語言實(shí)現(xiàn),提供源碼和部署環(huán)境,運(yùn)行在Apache或Nginx 或Weblogic等Web服務(wù)器;后段必須有數(shù)據(jù)庫,如mysql、sqlite、mongodb等。
5. 必須包含預(yù)設(shè)的Web應(yīng)用安全漏洞(創(chuàng)新性安全挑戰(zhàn)即為對預(yù)設(shè)安全漏洞的某種檢測和利?技巧),不限制Web應(yīng)用安全漏洞類型;
6. 業(yè)務(wù)邏輯上設(shè)計(jì)防止“薅羊毛”的特性,植入創(chuàng)新性網(wǎng)絡(luò)安全挑戰(zhàn),比如必須要進(jìn)行某些繞過防止“薅羊毛”特性的攻擊操作后,才能到達(dá)漏洞利用條件(如某些高等級用戶才具備的功能特性,其中才包含網(wǎng)絡(luò)安全挑戰(zhàn)預(yù)設(shè)安全漏洞)
7. 服務(wù)端又統(tǒng)一為’80’,請不要使用其他端口。
附件:驗(yàn)證碼數(shù)據(jù)集,Checker程序,出題格式要求模板等
驗(yàn)證碼測試數(shù)據(jù)集下載地址:鏈接:https://share.weiyun.com/5QlpOIi 密碼: h6uvtf
WEB要求模板+Checker程序:鏈接:https://share.weiyun.com/5h1VH5C 密碼: uct9dn
提交靶標(biāo)環(huán)境要求
1. 賽題環(huán)境提供Dockerfile + docker-compose容器環(huán)境,平臺方使用`docker-compose up -d`啟動選手提供的環(huán)境
(docker環(huán)境內(nèi)初始對于二進(jìn)制網(wǎng)絡(luò)服務(wù)**只包含源碼, 不要預(yù)編譯二進(jìn)制**,編譯命令和運(yùn)行命令寫入Dockerfile,由Docker自動編譯和運(yùn)行);
2. Flag可即時(shí)更新,不接受固定flag的賽題。請?jiān)谖臋n內(nèi)提供更新flag的命令,例如
`echo xxx > /home/ctf/flag`等;
3. 在Flag位置使用初始Flag為`CISCN{this_is_a_sample_flag}`;
4. 提交靶標(biāo)環(huán)境格式請參照`challenge_template`文件夾下的出題格式要求。
5. 提交3個(gè)Hint并標(biāo)注次序,此3個(gè)Hint會在BreakIt環(huán)節(jié)中按照1/4時(shí)間如無隊(duì)伍解出放第一個(gè)Hint,1/2時(shí)間如無隊(duì)伍解出放第二個(gè)Hint,3/4時(shí)間如無隊(duì)伍解出放第三個(gè)Hint,如有隊(duì)伍解出不再放后續(xù)Hint的約定放出
6. 提交EXP腳本的源代碼行數(shù)小于300行(采用標(biāo)準(zhǔn)的編碼規(guī)范,不特意進(jìn)行代碼混淆變形縮略行等操作),其中不包含和靶標(biāo)環(huán)境預(yù)先共享的key、弱又令列表等信息。
7. 提交Writeup請?jiān)敿?xì)描述創(chuàng)新性網(wǎng)絡(luò)安全挑戰(zhàn)的解題步驟、設(shè)計(jì)思路、創(chuàng)新性以及考察的技能、技巧和思維點(diǎn)。
提交截止時(shí)間:
2018年5?24?23:59分
提交途徑:
發(fā)送郵件和附件至:ciscn2018@126.com,請?jiān)卩]件標(biāo)題中標(biāo)明賽區(qū)、戰(zhàn)隊(duì)和場景類型(Pwn、Web)
第十一屆全國大學(xué)生信息安全競賽
創(chuàng)新實(shí)踐能力賽技術(shù)委員會
2018年5?12?
第十一屆全國大學(xué)生信息安全競賽創(chuàng)新實(shí)踐能力賽決賽階段應(yīng)用場景開發(fā)需求.pdf