第十七屆全國大學(xué)生信息安全競賽 ——創(chuàng)新實(shí)踐能力賽線上初賽參賽手冊

第十七屆全國大學(xué)生信息安全競賽

——創(chuàng)新實(shí)踐能力賽線上初賽參賽手冊

一、大賽背景

為積極響應(yīng)國家網(wǎng)絡(luò)空間安全人才戰(zhàn)略,加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐,實(shí)現(xiàn)以賽促學(xué)、以賽促教、以賽促用,推動網(wǎng)絡(luò)空間安全人才培養(yǎng)和產(chǎn)學(xué)研用生態(tài)發(fā)展,由中國互聯(lián)網(wǎng)發(fā)展基金會網(wǎng)絡(luò)安全專項(xiàng)基金資助,四川大學(xué)承辦的第十七屆全國大學(xué)生信息安全競賽——創(chuàng)新實(shí)踐能力賽(以下簡稱大賽”)將于20244月至20247月舉行,面向全國高校在校生開放。

二、初賽安排

1 初賽安排時間表

 

 

517

14:00-18:00

選手登錄平臺進(jìn)行賽前測試

518

09:00-14:00

知識問答環(huán)節(jié)

09:00-16:00

場景實(shí)操環(huán)節(jié)

16:00-17:00

場景實(shí)操環(huán)節(jié)-黑燈模式

519

09:00-16:00

場景實(shí)操環(huán)節(jié)

16:00-17:00

場景實(shí)操環(huán)節(jié)-黑燈模式

17:00-20:00

所有參賽戰(zhàn)隊(duì)提交WriteUp

大賽工作組將在初賽開賽前一天向成功報名的選手預(yù)留手機(jī)號發(fā)送短信通知,內(nèi)容包括比賽平臺開放的具體時間、參賽賬號和初始密碼(已注冊過i春秋賬號的同學(xué)可直接使用自己設(shè)置的密碼登錄),參賽選手可按短信中的要求,登錄平臺進(jìn)行賬號測試。如未接收到相關(guān)短信,或在測試過程中遇到問題,請聯(lián)系大賽技術(shù)支持相關(guān)工作人員,聯(lián)系方式詳見文末表4

三、報名時間與地址

報名時間:412-514

報名地址:http://minghaohui.cn

四、比賽地址

https://match.ichunqiu.com/2024ciscn

五、賽制:知識問答+場景實(shí)操

線上初賽由大賽技術(shù)委員會命題,采用在線答題模式,題目覆蓋多種創(chuàng)新實(shí)踐能力基礎(chǔ)技能,由知識問答環(huán)節(jié)和場景實(shí)操環(huán)節(jié)兩部分組成。

(一)知識問答環(huán)節(jié)說明

以選擇題的方式考察,主要涵蓋政策法規(guī)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的知識,問答比賽規(guī)則如下:

1.知識問答環(huán)節(jié)共10道選擇題,每題10分,共100分;

2.各參賽戰(zhàn)隊(duì)需在平臺上觀看5段視頻,每看完1段視頻后將出現(xiàn)2道選擇題;

3.答題時間限制在第一天的5h時間內(nèi)作答,第二天不能作答。如未在規(guī)定時間內(nèi)參與答題則該環(huán)節(jié)得分為零;

4.以戰(zhàn)隊(duì)為單位參賽,同戰(zhàn)隊(duì)內(nèi)所有參賽隊(duì)員皆可答題,每支參賽隊(duì)伍每道題目僅有一次提交答案機(jī)會,已經(jīng)提交的答案不支持修改。

(二)場景實(shí)操(CTF奪旗賽)環(huán)節(jié)說明

各參賽隊(duì)員登錄比賽地址,進(jìn)入到比賽平臺,以隊(duì)伍為單位進(jìn)行答題,每道賽題均內(nèi)置1flag。每道題目有不同的網(wǎng)絡(luò)或應(yīng)用場景,參賽者需要采用在線操作或離線分析的方式,獲取到埋藏在題目中的特殊字符串(flag),通過在平臺提交正確的flag獲取得分。未提交或提交錯誤不得分。比賽第一天的題目在第二天不能作答,比賽結(jié)束后3小時內(nèi),參賽隊(duì)需提交每道賽題詳細(xì)的解題報告(WriteUp)。

(三)場景實(shí)操考核范圍

賽題類型主要包括:Web安全、二進(jìn)制漏洞挖掘利用、逆向分析與移動安全、密碼分析、安全編程等。

2 賽題類型表

 

主要考察范圍

Web安全

SQL注入、XSS跨站腳本、文件上傳、文件包含等漏洞,涉及PHPJavaPythonGoNodejs等語言代碼審計問題,涉及滲透測試相關(guān)技術(shù)

二進(jìn)制漏洞挖掘利用

LinuxWindows、嵌入式平臺應(yīng)用的二進(jìn)制漏洞挖掘與利用技術(shù)

逆向分析與移動安全

涉及WindowsLinuxAndroid平臺的加解密分析、算法逆向、反調(diào)試和代碼混淆、匯編指令分析等軟件逆向技術(shù)

雜項(xiàng)

涉及信息搜集、編碼分析、取證分析、隱寫分析等

密碼學(xué)

涉及古典密碼學(xué)、現(xiàn)代密碼學(xué)、國密算法等

網(wǎng)絡(luò)安全新技術(shù)

涉及人工智能安全、工控安全、信息技術(shù)應(yīng)用創(chuàng)新、量子通信與計算、可信計算、車聯(lián)網(wǎng)安全、區(qū)塊鏈技術(shù)

(四)場景實(shí)操計分方式

場景實(shí)操環(huán)節(jié)采用動態(tài)積分方式,即每一道題目初始分?jǐn)?shù)相同(500分)。題目分值隨著解題隊(duì)伍數(shù)量的增加將隨之減少,且所有解出此題的隊(duì)伍所持有的分?jǐn)?shù)都會動態(tài)減少。若題目沒有被成功解出,則題目分?jǐn)?shù)保持不變。譬如某賽題初始分值為500分,第一支解出該題目的戰(zhàn)隊(duì)將獲得500分。若陸續(xù)有隊(duì)伍解出該題目,則該題目的分?jǐn)?shù)隨之減少,同時所有解出該題的隊(duì)伍得分都將會隨著題目的當(dāng)前分值動態(tài)調(diào)整。簽到題以外的題目最先回答出來的三個隊(duì)伍分別獲得3%2%1%額外分?jǐn)?shù)加成。

注:題目分?jǐn)?shù)衰減公式為:

解出該題人數(shù)=0時:實(shí)時分?jǐn)?shù) = 題目分?jǐn)?shù)

解出該題人數(shù)>0時:實(shí)時分?jǐn)?shù) = 題目分?jǐn)?shù) * (1/(0.05*(解出該題的隊(duì)伍數(shù)+19)))

每道題目最低衰減值為50分。

六、計分規(guī)則

戰(zhàn)隊(duì)最終得分 = 知識問答得分 + 場景實(shí)操得分


 

七、錄屏要求

本次大賽將采用嚴(yán)格的反作弊機(jī)制,建議所有參賽選手對比賽所使用的電腦進(jìn)行屏幕錄制,作為反作弊申訴的重要依據(jù)。屏幕錄制的相關(guān)要求如下:

1.參賽選手可根據(jù)不同機(jī)型及操作系統(tǒng)自行選擇錄屏軟件(推薦使用EVCapture錄屏軟件、OBS錄屏軟件、Mac自帶錄屏軟件QuickTime等),不做強(qiáng)制要求。參賽選手需在賽前進(jìn)行下載安裝及調(diào)試,比賽前不再提供下載安裝及調(diào)試時間;

2.參賽選手只能在參賽電腦的操作系統(tǒng)上錄屏,錄屏不能在遠(yuǎn)程登錄的系統(tǒng)或虛擬機(jī)中進(jìn)行錄屏;如參賽選手在解題過程中涉及分屏或多屏操作,則所有屏幕均需錄制;

3.使用部分錄屏軟件時,錄制時長過久會造成視頻數(shù)據(jù)無法及時寫入硬盤,使得內(nèi)存中堆積大量數(shù)據(jù),錄屏軟件申請不到新的內(nèi)存而停止,從而導(dǎo)致錄屏失敗。因此,請參賽選手根據(jù)不同軟件所需,每2小時或3小時保存一次錄屏文件,隨后馬上開啟新的一次錄屏。除手動保存錄屏文件外,比賽期間屏幕錄制不能中斷;

4.參賽選手不得對錄屏文件有任何的剪輯或后期加工處理。錄屏視頻時長均需涵蓋兩天比賽全程9:00-17:00,所錄視頻內(nèi)容必須包括:對題目進(jìn)行分析及測試過程、腳本編寫及運(yùn)行過程、獲取flag及提交flag過程,以及必須包括選手、隊(duì)伍信息和實(shí)時時間信息等。

八、平臺操作說明

(一)平臺登錄

2024517日前,大賽工作組將通過短信形式發(fā)送比賽地址及登錄方式。比賽登錄界面如下圖所示:

image.png


(二)題目列表

1. 答題界面

點(diǎn)擊題目圖標(biāo)即可進(jìn)入,選手可自由選擇答題順序。

image.png


* 以上圖片均為實(shí)例,非本次比賽題目

2. Docker容器下發(fā)

Docker是一個開源的應(yīng)用容器引擎,我們的部分賽題會部署在使用Docker技術(shù)的容器當(dāng)中,當(dāng)您打開一道Docker容器下發(fā)的題目:

image.png

點(diǎn)擊下發(fā)題目,將有進(jìn)度條加載:

image.png

加載完成,將呈現(xiàn)一個鏈接:

image.png

如果您打開頁面,顯示如下:

image.png

這可能是由于容器開啟需要一定時間,可稍候嘗試刷新頁面,若依舊無法打開,可返回平臺點(diǎn)擊重新下發(fā)

請注意,每個隊(duì)伍同時只能下發(fā)2個容器。請由成功申請下發(fā)容器的隊(duì)員,用自己的賬號提交flag

3. 提交Flag

當(dāng)您打開一個題目,如下圖:

image.png

通過漏洞挖掘與利用、代碼分析等方式,從題目環(huán)境中得到一串具有一定格式的字符串或其他內(nèi)容,將其在平臺上提交,獲得相應(yīng)分?jǐn)?shù)。提交的時候一般需要包含flag{}的整體內(nèi)容,如果flag有其他的特殊格式要求,一般在題目的描述里會提及到。

4. 提交解題思路(WriteUp

比賽結(jié)束后3小時內(nèi),所有戰(zhàn)隊(duì)須上傳提交每道成功解出賽題的詳細(xì)解題報告(WriteUp),經(jīng)組委會審核后,確定各參賽隊(duì)最終得分和排名。逾期提交或不提交視為放棄本次比賽排名。

image.png

 

5. 查看排行榜

點(diǎn)擊排行榜即可獲取榜單信息。

image.png

(三)黑燈模式

在每天的比賽結(jié)束前最后一小時進(jìn)入黑燈搏殺模式,屆時觀戰(zhàn)界面的排行榜、選手答題頁面的排名、得分、攻克題目數(shù)等將不再展示,黑燈模式結(jié)束后恢復(fù)普通模式。

在每天比賽的最后一小時中,每個隊(duì)伍只有2次提交正確flag的機(jī)會,每提交一道賽題的正確flag扣除一次,提交錯誤flag不扣除次數(shù),提交0解題目的正確flag(獲得一血)不扣除次數(shù)。可提交flag機(jī)會次數(shù)為0時,不允許再提交非0解題的flag。所有0解題的題目名將在比賽公告里實(shí)時公布。

 

(四)注意事項(xiàng)

1.關(guān)于Docker容器下發(fā):每個隊(duì)伍同時只能下發(fā)2個容器。請由成功申請下發(fā)容器的隊(duì)員,用自己的賬號提交flag。容器下發(fā)后,如訪問不到地址請稍候重試刷新,如果提示錯誤可稍后再重新申請下發(fā);

2.比賽過程中禁止跨戰(zhàn)隊(duì)交流解題思路、答案等賽題相關(guān)內(nèi)容。比賽過程中各戰(zhàn)隊(duì)需保護(hù)好自己戰(zhàn)隊(duì)的唯一標(biāo)識token(根據(jù)題目需要下發(fā)),不得將戰(zhàn)隊(duì)token、容器地址等信息分享到戰(zhàn)隊(duì)以外。也禁止從其他戰(zhàn)隊(duì)獲取任何和題目相關(guān)的內(nèi)容;

3.WriteUp提交時間:19日比賽結(jié)束后3小時內(nèi)請所有參賽戰(zhàn)隊(duì)提交場景實(shí)操題目的解題思路(WriteUp),不提交或逾期視為自動放棄晉級資格,提交格式為PDF文件;

4.大賽采用動態(tài)flag反作弊、IP漂移監(jiān)控、流量鏡像分析等監(jiān)控技術(shù),發(fā)現(xiàn)比賽作弊或?qū)Ρ荣惼脚_攻擊行為,將采取禁賽、直接取消比賽成績等處罰措施,情節(jié)嚴(yán)重者將通報賽隊(duì)所在高校;

5.比賽自開始至結(jié)束除了和大賽秘書處、組委會、裁判組、平臺客服溝通外,禁止參賽選手以任何形式、在任何場合交流、討論賽題及解題思路。一經(jīng)發(fā)現(xiàn)組委會有權(quán)取消其比賽成績,情節(jié)嚴(yán)重者將通報所在學(xué)校。

 

九、聯(lián)系我們

大賽聯(lián)系人:

黃老師  電話:13208010264  郵箱: wyw@stu.scu.edu.cn

李老師  電話:18048537987  郵箱: libeibei@scu.edu.cn

大賽秘書處郵箱:ciscn_scu_2024@163.com

3 大賽官方QQ群列表

QQ群號

群名稱

545083579

(17屆信安創(chuàng)新實(shí)踐賽指導(dǎo)老師群)

327904910

(17屆信安創(chuàng)新實(shí)踐賽學(xué)生)

191965192

(17屆信安創(chuàng)新實(shí)踐賽學(xué)生)

566613050

(17   屆信安創(chuàng)新實(shí)踐賽學(xué)生)

570834671

(17屆信安創(chuàng)新實(shí)踐賽學(xué)生)

注:如后續(xù)再開群,將另行通知。

4 線上初賽技術(shù)支持聯(lián)系方式列表

QQ號碼

QQ昵稱

2468652857

春秋GAME-技術(shù)支持

3285327400

春秋GAME-技術(shù)支持-果子

1992243669

春秋GAME-技術(shù)支持-sun

2024777069

春秋GAME-技術(shù)支持-五條

3293637639

春秋GAME-線上賽平臺支持2

3624154301

春秋GAME-運(yùn)營支持-美羊羊

預(yù)祝各位參賽選手取得好成績!


第十七屆全國大學(xué)生信息安全競賽

——創(chuàng)新實(shí)踐能力賽競賽組委會

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 代章)

2024513

第十七屆全國大學(xué)生信息安全競賽——創(chuàng)新實(shí)踐能力賽線上初賽參賽手冊.pdf






技術(shù)支持與保障360數(shù)字安全集團(tuán) ●  國衛(wèi)信安         備案號:京ICP備15033807號-5

中國互聯(lián)網(wǎng)發(fā)展基金會主辦

贵阳市| 彝良县| 平武县| 胶南市| 达日县| 朔州市| 盖州市| 博客| 韶关市| 东兴市| 日照市| 兴安盟| 马山县| 余姚市| 汶上县| 页游| 太仓市| 甘洛县| 岱山县| 峨眉山市| 浠水县| 深水埗区| 淳安县| 普安县| 永新县| 阳山县| 正宁县| 和田县| 沙河市| 淳安县| 双江| 托克逊县| 武陟县| 蒲城县| 尉犁县| 区。| 沙坪坝区| 刚察县| 湄潭县| 崇州市| 太白县|