第十七屆全國大學(xué)生信息安全競賽

——創(chuàng)新實(shí)踐能力賽線上初賽參賽手冊

一、大賽背景

為積極響應(yīng)國家網(wǎng)絡(luò)空間安全人才戰(zhàn)略，加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐，實(shí)現(xiàn)以賽促學(xué)、以賽促教、以賽促用，推動網(wǎng)絡(luò)空間安全人才培養(yǎng)和產(chǎn)學(xué)研用生態(tài)發(fā)展，由中國互聯(lián)網(wǎng)發(fā)展基金會網(wǎng)絡(luò)安全專項(xiàng)基金資助，四川大學(xué)承辦的第十七屆全國大學(xué)生信息安全競賽——創(chuàng)新實(shí)踐能力賽(以下簡稱“大賽”)將于2024年4月至2024年7月舉行，面向全國高校在校生開放。

二、初賽安排

表1 初賽安排時間表

大賽工作組將在初賽開賽前一天向成功報名的選手預(yù)留手機(jī)號發(fā)送短信通知，內(nèi)容包括比賽平臺開放的具體時間、參賽賬號和初始密碼（已注冊過i春秋賬號的同學(xué)可直接使用自己設(shè)置的密碼登錄），參賽選手可按短信中的要求，登錄平臺進(jìn)行賬號測試。如未接收到相關(guān)短信，或在測試過程中遇到問題，請聯(lián)系大賽技術(shù)支持相關(guān)工作人員，聯(lián)系方式詳見文末表4。

三、報名時間與地址

報名時間：4月12日-5月14日

報名地址：http://minghaohui.cn

四、比賽地址

https://match.ichunqiu.com/2024ciscn

五、賽制：知識問答+場景實(shí)操

線上初賽由大賽技術(shù)委員會命題，采用在線答題模式，題目覆蓋多種創(chuàng)新實(shí)踐能力基礎(chǔ)技能，由知識問答環(huán)節(jié)和場景實(shí)操環(huán)節(jié)兩部分組成。

（一）知識問答環(huán)節(jié)說明

以選擇題的方式考察，主要涵蓋政策法規(guī)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面的知識，問答比賽規(guī)則如下：

1.知識問答環(huán)節(jié)共10道選擇題，每題10分，共100分；

2.各參賽戰(zhàn)隊(duì)需在平臺上觀看5段視頻，每看完1段視頻后將出現(xiàn)2道選擇題；

3.答題時間限制在第一天的5h時間內(nèi)作答，第二天不能作答。如未在規(guī)定時間內(nèi)參與答題則該環(huán)節(jié)得分為零；

4.以戰(zhàn)隊(duì)為單位參賽，同戰(zhàn)隊(duì)內(nèi)所有參賽隊(duì)員皆可答題，每支參賽隊(duì)伍每道題目僅有一次提交答案機(jī)會，已經(jīng)提交的答案不支持修改。

（二）場景實(shí)操（CTF奪旗賽）環(huán)節(jié)說明

各參賽隊(duì)員登錄比賽地址，進(jìn)入到比賽平臺，以隊(duì)伍為單位進(jìn)行答題，每道賽題均內(nèi)置1個flag。每道題目有不同的網(wǎng)絡(luò)或應(yīng)用場景，參賽者需要采用在線操作或離線分析的方式，獲取到埋藏在題目中的特殊字符串（flag），通過在平臺提交正確的flag獲取得分。未提交或提交錯誤不得分。比賽第一天的題目在第二天不能作答，比賽結(jié)束后3小時內(nèi)，參賽隊(duì)需提交每道賽題詳細(xì)的解題報告（WriteUp）。

（三）場景實(shí)操考核范圍

賽題類型主要包括：Web安全、二進(jìn)制漏洞挖掘利用、逆向分析與移動安全、密碼分析、安全編程等。

表2 賽題類型表

（四）場景實(shí)操計分方式

場景實(shí)操環(huán)節(jié)采用動態(tài)積分方式，即每一道題目初始分?jǐn)?shù)相同（500分）。題目分值隨著解題隊(duì)伍數(shù)量的增加將隨之減少，且所有解出此題的隊(duì)伍所持有的分?jǐn)?shù)都會動態(tài)減少。若題目沒有被成功解出，則題目分?jǐn)?shù)保持不變。譬如某賽題初始分值為500分，第一支解出該題目的戰(zhàn)隊(duì)將獲得500分。若陸續(xù)有隊(duì)伍解出該題目，則該題目的分?jǐn)?shù)隨之減少，同時所有解出該題的隊(duì)伍得分都將會隨著題目的當(dāng)前分值動態(tài)調(diào)整。簽到題以外的題目最先回答出來的三個隊(duì)伍分別獲得3%、2%和1%額外分?jǐn)?shù)加成。

注：題目分?jǐn)?shù)衰減公式為：

解出該題人數(shù)=0時：實(shí)時分?jǐn)?shù) = 題目分?jǐn)?shù)

解出該題人數(shù)>0時：實(shí)時分?jǐn)?shù) = 題目分?jǐn)?shù) * (1/(0.05*(解出該題的隊(duì)伍數(shù)+19)))

每道題目最低衰減值為50分。

六、計分規(guī)則

戰(zhàn)隊(duì)最終得分 = 知識問答得分 + 場景實(shí)操得分

七、錄屏要求

本次大賽將采用嚴(yán)格的反作弊機(jī)制，建議所有參賽選手對比賽所使用的電腦進(jìn)行屏幕錄制，作為反作弊申訴的重要依據(jù)。屏幕錄制的相關(guān)要求如下：

1.參賽選手可根據(jù)不同機(jī)型及操作系統(tǒng)自行選擇錄屏軟件（推薦使用EVCapture錄屏軟件、OBS錄屏軟件、Mac自帶錄屏軟件QuickTime等），不做強(qiáng)制要求。參賽選手需在賽前進(jìn)行下載安裝及調(diào)試，比賽前不再提供下載安裝及調(diào)試時間；

2.參賽選手只能在參賽電腦的操作系統(tǒng)上錄屏，錄屏不能在遠(yuǎn)程登錄的系統(tǒng)或虛擬機(jī)中進(jìn)行錄屏；如參賽選手在解題過程中涉及分屏或多屏操作，則所有屏幕均需錄制；

3.使用部分錄屏軟件時，錄制時長過久會造成視頻數(shù)據(jù)無法及時寫入硬盤，使得內(nèi)存中堆積大量數(shù)據(jù)，錄屏軟件申請不到新的內(nèi)存而停止，從而導(dǎo)致錄屏失敗。因此，請參賽選手根據(jù)不同軟件所需，每2小時或3小時保存一次錄屏文件，隨后馬上開啟新的一次錄屏。除手動保存錄屏文件外，比賽期間屏幕錄制不能中斷；

4.參賽選手不得對錄屏文件有任何的剪輯或后期加工處理。錄屏視頻時長均需涵蓋兩天比賽全程9:00-17:00，所錄視頻內(nèi)容必須包括：對題目進(jìn)行分析及測試過程、腳本編寫及運(yùn)行過程、獲取flag及提交flag過程，以及必須包括選手、隊(duì)伍信息和實(shí)時時間信息等。

八、平臺操作說明

（一）平臺登錄

2024年5月17日前，大賽工作組將通過短信形式發(fā)送比賽地址及登錄方式。比賽登錄界面如下圖所示：

（二）題目列表

1. 答題界面

點(diǎn)擊題目圖標(biāo)即可進(jìn)入，選手可自由選擇答題順序。

注* 以上圖片均為實(shí)例，非本次比賽題目

2. Docker容器下發(fā)

Docker是一個開源的應(yīng)用容器引擎，我們的部分賽題會部署在使用Docker技術(shù)的容器當(dāng)中，當(dāng)您打開一道Docker容器下發(fā)的題目：

點(diǎn)擊下發(fā)題目，將有進(jìn)度條加載：

加載完成，將呈現(xiàn)一個鏈接：

如果您打開頁面，顯示如下：

這可能是由于容器開啟需要一定時間，可稍候嘗試刷新頁面，若依舊無法打開，可返回平臺點(diǎn)擊“重新下發(fā)”。

請注意，每個隊(duì)伍同時只能下發(fā)2個容器。請由成功申請下發(fā)容器的隊(duì)員，用自己的賬號提交flag。

3. 提交Flag

當(dāng)您打開一個題目，如下圖：

通過漏洞挖掘與利用、代碼分析等方式，從題目環(huán)境中得到一串具有一定格式的字符串或其他內(nèi)容，將其在平臺上提交，獲得相應(yīng)分?jǐn)?shù)。提交的時候一般需要包含flag{}的整體內(nèi)容，如果flag有其他的特殊格式要求，一般在題目的描述里會提及到。

4. 提交解題思路（WriteUp）

比賽結(jié)束后3小時內(nèi)，所有戰(zhàn)隊(duì)須上傳提交每道成功解出賽題的詳細(xì)解題報告（WriteUp），經(jīng)組委會審核后，確定各參賽隊(duì)最終得分和排名。逾期提交或不提交視為放棄本次比賽排名。

5. 查看排行榜

點(diǎn)擊“排行榜”即可獲取榜單信息。

（三）黑燈模式

在每天的比賽結(jié)束前最后一小時進(jìn)入“黑燈搏殺”模式，屆時觀戰(zhàn)界面的排行榜、選手答題頁面的排名、得分、攻克題目數(shù)等將不再展示，黑燈模式結(jié)束后恢復(fù)普通模式。

在每天比賽的最后一小時中，每個隊(duì)伍只有2次提交正確flag的機(jī)會，每提交一道賽題的正確flag扣除一次，提交錯誤flag不扣除次數(shù)，提交0解題目的正確flag（獲得一血）不扣除次數(shù)。可提交flag機(jī)會次數(shù)為0時，不允許再提交非0解題的flag。所有0解題的題目名將在比賽公告里實(shí)時公布。

（四）注意事項(xiàng)

1.關(guān)于Docker容器下發(fā)：每個隊(duì)伍同時只能下發(fā)2個容器。請由成功申請下發(fā)容器的隊(duì)員，用自己的賬號提交flag。容器下發(fā)后，如訪問不到地址請稍候重試刷新，如果提示錯誤可稍后再重新申請下發(fā)；

2.比賽過程中禁止跨戰(zhàn)隊(duì)交流解題思路、答案等賽題相關(guān)內(nèi)容。比賽過程中各戰(zhàn)隊(duì)需保護(hù)好自己戰(zhàn)隊(duì)的唯一標(biāo)識token（根據(jù)題目需要下發(fā)），不得將戰(zhàn)隊(duì)token、容器地址等信息分享到戰(zhàn)隊(duì)以外。也禁止從其他戰(zhàn)隊(duì)獲取任何和題目相關(guān)的內(nèi)容；

3.WriteUp提交時間：19日比賽結(jié)束后3小時內(nèi)請所有參賽戰(zhàn)隊(duì)提交場景實(shí)操題目的解題思路（WriteUp），不提交或逾期視為自動放棄晉級資格，提交格式為PDF文件；

4.大賽采用動態(tài)flag反作弊、IP漂移監(jiān)控、流量鏡像分析等監(jiān)控技術(shù)，發(fā)現(xiàn)比賽作弊或?qū)Ρ荣惼脚_攻擊行為，將采取禁賽、直接取消比賽成績等處罰措施，情節(jié)嚴(yán)重者將通報賽隊(duì)所在高校；

5.比賽自開始至結(jié)束除了和大賽秘書處、組委會、裁判組、平臺客服溝通外，禁止參賽選手以任何形式、在任何場合交流、討論賽題及解題思路。一經(jīng)發(fā)現(xiàn)組委會有權(quán)取消其比賽成績，情節(jié)嚴(yán)重者將通報所在學(xué)校。

九、聯(lián)系我們

大賽聯(lián)系人：

黃老師  電話：13208010264  郵箱： wyw@stu.scu.edu.cn

李老師  電話：18048537987  郵箱： libeibei@scu.edu.cn

大賽秘書處郵箱：ciscn_scu_2024@163.com

表3 大賽官方QQ群列表

注：如后續(xù)再開群，將另行通知。

表4 線上初賽技術(shù)支持聯(lián)系方式列表

預(yù)祝各位參賽選手取得好成績！

第十七屆全國大學(xué)生信息安全競賽

——創(chuàng)新實(shí)踐能力賽競賽組委會

（四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 代章）

2024年5月13日

第十七屆全國大學(xué)生信息安全競賽——創(chuàng)新實(shí)踐能力賽線上初賽參賽手冊.pdf