全国大学生安全信息竞赛/第十七届全国大学生信息安全竞赛_详细白客教程
第十七届全国大学生信息安全竞赛
——创新实践能力赛线上初赛参赛手册
一、大赛背景
为积极响应国家网络空间安全人才战略,加快攻防兼备创新人才培养步伐,实现以赛促学、以赛促教、以赛促用,推动网络空间安全人才培养和产学研用生态发展,由中国互联网发展基金会网络安全专项基金资助,四川大学承办的第十七届全国大学生信息安全竞赛——创新实践能力赛(以下简称“大赛”)将于2024年4月至2024年7月举行,面向全国高校在校生开放。
二、初赛安排
表1 初赛安排时间表
时 间
赛 程
5月17日
14:00-18:00
选手登录平台进行赛前测试
5月18日
09:00-14:00
知识问答环节
09:00-16:00
场景实操环节
16:00-17:00
场景实操环节-黑灯模式
5月19日
09:00-16:00
场景实操环节
16:00-17:00
场景实操环节-黑灯模式
17:00-20:00
所有参赛战队提交
大赛工作组将在初赛开赛前一天向成功报名的选手预留手机号发送短信通知,内容包括比赛平台开放的具体时间、参赛账号和初始密码(已注册过i春秋账号的同学可直接使用自己设置的密码登录),参赛选手可按短信中的要求,登录平台进行账号测试。如未接收到相关短信,或在测试过程中遇到问题,请联系大赛技术支持相关工作人员,联系方式详见文末表4。
三、报名时间与地址
报名时间:4月12日-5月14日
报名地址:
四、比赛地址
五、赛制:知识问答+场景实操
线上初赛由大赛技术委员会命题,采用在线答题模式,题目覆盖多种创新实践能力基础技能,由知识问答环节和场景实操环节两部分组成。
(一)知识问答环节说明
以选择题的方式考察,主要涵盖政策法规、网络安全、数据安全等方面的知识,问答比赛规则如下:
1.知识问答环节共10道选择题,每题10分,共100分;
2.各参赛战队需在平台上观看5段视频,每看完1段视频后将出现2道选择题;
3.答题时间限制在第一天的5h时间内作答,第二天不能作答。如未在规定时间内参与答题则该环节得分为零;
4.以战队为单位参赛,同战队内所有参赛队员皆可答题,每支参赛队伍每道题目仅有一次提交答案机会,已经提交的答案不支持修改。
(二)场景实操(CTF夺旗赛)环节说明
各参赛队员登录比赛地址,进入到比赛平台,以队伍为单位进行答题,每道赛题均内置1个flag。每道题目有不同的网络或应用场景,参赛者需要采用在线操作或离线分析的方式,获取到埋藏在题目中的特殊字符串(flag),通过在平台提交正确的flag获取得分。未提交或提交错误不得分。比赛第一天的题目在第二天不能作答,比赛结束后3小时内,参赛队需提交每道赛题详细的解题报告()。
(三)场景实操考核范围
赛题类型主要包括:Web安全、二进制漏洞挖掘利用、逆向分析与移动安全、密码分析、安全编程等。
表2 赛题类型表
类 型
主要考察范围
Web安全
涉及SQL注入、XSS跨站脚本、文件上传、文件包含等漏洞,涉及PHP、Java、、Go、等语言代码审计问题,涉及渗透测试相关技术
二进制漏洞挖掘利用
涉及Linux、、嵌入式平台应用的二进制漏洞挖掘与利用技术
逆向分析与移动安全
涉及、Linux、平台的加解密分析、算法逆向、反调试和代码混淆、汇编指令分析等软件逆向技术
杂项
涉及信息搜集、编码分析、取证分析、隐写分析等
密码学
涉及古典密码学、现代密码学、国密算法等
网络安全新技术
涉及人工智能安全、工控安全、信息技术应用创新、量子通信与计算、可信计算、车联网安全、区块链技术等
(四)场景实操计分方式
场景实操环节采用动态积分方式,即每一道题目初始分数相同(500分)。题目分值随着解题队伍数量的增加将随之减少,且所有解出此题的队伍所持有的分数都会动态减少。若题目没有被成功解出,则题目分数保持不变。譬如某赛题初始分值为500分,第一支解出该题目的战队将获得500分。若陆续有队伍解出该题目,则该题目的分数随之减少,同时所有解出该题的队伍得分都将会随着题目的当前分值动态调整。签到题以外的题目最先回答出来的三个队伍分别获得3%、2%和1%额外分数加成。
注:题目分数衰减公式为:
解出该题人数=0时:实时分数 = 题目分数
解出该题人数>0时:实时分数 = 题目分数 * (1/(0.05*(解出该题的队伍数+19)))
每道题目最低衰减值为50分。
六、计分规则
战队最终得分 = 知识问答得分 + 场景实操得分
七、录屏要求
本次大赛将采用严格的反作弊机制,建议所有参赛选手对比赛所使用的电脑进行屏幕录制,作为反作弊申诉的重要依据。屏幕录制的相关要求如下:
1.参赛选手可根据不同机型及操作系统自行选择录屏软件(推荐使用录屏软件、OBS录屏软件、Mac自带录屏软件等),不做强制要求。参赛选手需在赛前进行下载安装及调试,比赛前不再提供下载安装及调试时间;
2.参赛选手只能在参赛电脑的操作系统上录屏,录屏不能在远程登录的系统或虚拟机中进行录屏;如参赛选手在解题过程中涉及分屏或多屏操作,则所有屏幕均需录制;
3.使用部分录屏软件时,录制时长过久会造成视频数据无法及时写入硬盘,使得内存中堆积大量数据,录屏软件申请不到新的内存而停止,从而导致录屏失败。因此,请参赛选手根据不同软件所需,每2小时或3小时保存一次录屏文件,随后马上开启新的一次录屏。除手动保存录屏文件外,比赛期间屏幕录制不能中断;
4.参赛选手不得对录屏文件有任何的剪辑或后期加工处理。录屏视频时长均需涵盖两天比赛全程9:00-17:00,所录视频内容必须包括:对题目进行分析及测试过程、脚本编写及运行过程、获取flag及提交flag过程,以及必须包括选手、队伍信息和实时时间信息等。
八、平台操作说明
(一)平台登录
2024年5月17日前,大赛工作组将通过短信形式发送比赛地址及登录方式。比赛登录界面如下图所示:
(二)题目列表
- 答题界面
点击题目图标即可进入,选手可自由选择答题顺序。
注* 以上图片均为实例,非本次比赛题目
- 容器下发
是一个开源的应用容器引擎,我们的部分赛题会部署在使用技术的容器当中,当您打开一道容器下发的题目:
点击下发题目,将有进度条加载:
加载完成,将呈现一个链接:
如果您打开页面,显示如下:
这可能是由于容器开启需要一定时间,可稍候尝试刷新页面,若依旧无法打开,可返回平台点击“重新下发”。
请注意,每个队伍同时只能下发2个容器。请由成功申请下发容器的队员,用自己的账号提交flag。
- 提交Flag
当您打开一个题目,如下图:
通过漏洞挖掘与利用、代码分析等方式,从题目环境中得到一串具有一定格式的字符串或其他内容,将其在平台上提交,获得相应分数。提交的时候一般需要包含flag{}的整体内容,如果flag有其他的特殊格式要求,一般在题目的描述里会提及到。
- 提交解题思路()
比赛结束后3小时内,所有战队须上传提交每道成功解出赛题的详细解题报告(),经组委会审核后,确定各参赛队最终得分和排名。逾期提交或不提交视为放弃本次比赛排名。
- 查看排行榜
点击“排行榜”即可获取榜单信息。
(三)黑灯模式
在每天的比赛结束前最后一小时进入“黑灯搏杀”模式,届时观战界面的排行榜、选手答题页面的排名、得分、攻克题目数等将不再展示,黑灯模式结束后恢复普通模式。
在每天比赛的最后一小时中,每个队伍只有2次提交正确flag的机会,每提交一道赛题的正确flag扣除一次,提交错误flag不扣除次数,提交0解题目的正确flag(获得一血)不扣除次数。可提交flag机会次数为0时,不允许再提交非0解题的flag。所有0解题的题目名将在比赛公告里实时公布。
(四)注意事项
1.关于容器下发:每个队伍同时只能下发2个容器。请由成功申请下发容器的队员,用自己的账号提交flag。容器下发后,如访问不到地址请稍候重试刷新,如果提示错误可稍后再重新申请下发;
2.比赛过程中禁止跨战队交流解题思路、答案等赛题相关内容。比赛过程中各战队需保护好自己战队的唯一标识token(根据题目需要下发),不得将战队token、容器地址等信息分享到战队以外。也禁止从其他战队获取任何和题目相关的内容;
3.提交时间:19日比赛结束后3小时内请所有参赛战队提交场景实操题目的解题思路(),不提交或逾期视为自动放弃晋级资格,提交格式为PDF文件;
4.大赛采用动态flag反作弊、IP漂移监控、流量镜像分析等监控技术,发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校;
5.比赛自开始至结束除了和大赛秘书处、组委会、裁判组、平台客服沟通外,禁止参赛选手以任何形式、在任何场合交流、讨论赛题及解题思路。一经发现组委会有权取消其比赛成绩,情节严重者将通报所在学校。
九、联系我们
大赛联系人:
黄老师 电话: 邮箱: wyw@stu.scu.edu.cn
李老师 电话: 邮箱: @scu.edu.cn
大赛秘书处邮箱:@163.com
表3 大赛官方QQ群列表
QQ群号
群名称
(17届信安创新实践赛指导老师群)
(17届信安创新实践赛学生①群)
(17届信安创新实践赛学生②群)
(17 届信安创新实践赛学生③群)
(17届信安创新实践赛学生④群)
注:如后续再开群,将另行通知。
~
网络安全学习,我们一起交流
~
版权归原作者 程序员六七 所有, 如有侵权,请联系我们删除。