為宣傳普及網絡安全知識,提高大學生網絡安全防護意識和技能,加強大學生實踐能力和創新精神,不斷提高網絡安全人才培養質量🧑🏼✈️,根據《上海市教育委員會關於公布2016年上海高校大學生學科競賽活動入選名單的通知》(滬教委高〔2016〕25號文)要求,2016年全國大學生網絡安全邀請賽暨第二屆上海市大學生網絡安全大賽將於2016年11月在恒行3平台松江校區舉辦。
現將大賽有關事項通知如下🚙:
一、組織機構
主辦單位:上海市教育委員會
承辦單位:恒行3平台
協辦單位:北京永信至誠科技股份有限公司
贊助單位:上海勛立信息科技有限公司♞👊🏻、駭極安全
二👳🏻、參賽對象
本次大賽面向全國高等院校,以學校為單位組隊參賽。各高校選拔本校在校生(含專科生🟨、本科生™️、研究生)組成參賽團隊,每支參賽隊伍由3名參賽隊員組成,其中包括1名隊長⤴️。如有指導教師(限2名以內),請註明👨🌾🫅。另每隊必須設置設領隊1人(隊長或指導教師擔任)🙍♀️☢️,負責與組委會進行溝通競賽事宜。
三、賽程安排
(一)報名
1.各高校參賽團隊首先訪問大賽官方網站(http://www.ichunqiu.com/shwas)👩🏻🦼,進入報名頁面,下載報名表,填寫完成後發送至郵箱⇒🥸:shwas@qq.com🚕。
2.組委會確認各參賽隊資格🦍,並在大賽官方網站公布(http://www.ichunqiu.com/shwas)。
(二)賽前學習
各參賽隊伍在報名完成後的次日,便可獲得i春秋學院(www.ichunqiu.com)為期一周的課程免費學習權限🦸🏻。
(三)預賽
此次大賽預賽時間為2016年11月13日8:00至11月15日8:00 。預賽為CTF在線解題比賽,采取網絡答題方式進行😶🌫️,各高校參賽隊登錄大賽官網(http://www.ichunqiu.com/shwas)🙁,點擊預賽鏈接,使用網絡報名時註冊的帳號密碼登錄預賽網址進行網絡預賽,根據預賽成績由高至低產生15支決賽隊,於11月16日前在官網公布🏋🏼♀️。
初賽競賽規則如下:
采用在線解題模式。
解題過程需通過離線分析或在線交互克服技術挑戰後獲取Flag,提交驗證正確後給予相應分數。
比賽結束時依據各參賽隊完成的積分決定比賽名次,積分高者獲勝🏊♀️。
不允許頻繁提交FLAG,提交間隔不小於5分鐘💧𓀕。
若在限定時間內沒有隊伍解出題目,由主辦方給出提示。
禁止攻擊比賽平臺🤵🏼♂️,違者取消此次比賽資格💂🏿,如果發現平臺漏洞,請務必聯系主辦方⇾👲🏿。
(四)決賽
決賽采取現場攻防對抗賽形式進行,時間為2016年11月26日。決賽的具體形式和規則🙋🏽♂️、報到時間及比賽地點等內容通過大賽官網發布並通知有關參賽隊伍。
1、競賽規則
競賽平臺向每個參賽隊提供1個網絡場景,包含1臺工作服務器和1臺flag服務器⛹🏽♂️。各參賽隊之間的網絡場景路由可達。
每個參賽隊互為攻擊方和防守方,參賽隊要在防守自己服務器的同時🗄,攻擊其它參賽隊的防守機服務器。
在服務器上存在若幹漏洞,攻擊成功後,可通過應用服務器連接到flag服務器,得到特定位置的Flag🤸🏼,在平臺提供的答題界面提交Flag。
Flag每5分鐘更新一次,參賽選手需盡快修復漏洞,否則其他隊會利用此漏洞重復獲得Flag,造成本隊持續失分。
每個隊伍初始1000分,提交Flag成功後😔,表示攻擊成功,攻擊方得5分、被攻擊方表示防守失敗,被扣10分🧑🏽🦱。
2、賽題類型
分類為:包括web滲透,漏洞挖掘與利用,等方面👩⚕️。
難度等級為高、中🚵🏼♀️、低🧑🏼🦰。難度分布為高(20%)、中(40%)、低(40%)🕹😄。
賽題實例:
(1)初級難度
題目名稱 | 社會工程學 |
題目分類 | web安全、社會工程 |
難易級別 | 初級人員 |
考核知識點 | 暴力猜解🚴🏼、信息收集 |
知識點描述 | 社會工程學是一種人為心理學的攻擊手段👩🏿🚀𓀙,本類賽題主要考察參賽隊員綜合實力包含保護技術以及心理素質🌍。 |
考核目的 | 個人資料及其他信息的保護🤰。 |
(2)中級難度
題目名稱 | 代碼審計+上傳漏洞 |
題目分類 | WEB安全 |
難易級別 | 在代碼編寫上有一定的基礎的進階人員 |
考核知識點 | 抓包改包🙍🏿♂️、解析漏洞、上傳漏洞、代碼審計 |
知識點描述 | 代碼審計👣:檢查源代碼中的缺點和錯誤信息🍖,分析並找到這些問題引發的安全漏洞; 上傳漏洞:該漏洞的原因在於代碼作者沒有對訪客提交的數據進行檢驗或者過濾不嚴👆🏽💁🏿♂️,可以直接提交修改過的數據繞過擴展名的檢驗。 |
考核目的 | 1、查找漏洞,通過漏洞進一步提升權限,考察漏洞的修補。 2、利用上傳漏洞可以直接得到網站控製權限,考察上傳漏洞的防護🎅🏿。 |
(3)高級難度
題目名稱 | 緩沖區溢出 |
題目分類 | 網絡安全 |
難易級別 | 對程序代碼有深入了解的工程師 |
考核知識點 | 逆向工程👩🦲、緩沖區溢出 |
知識點描述 | 逆向工程(又稱逆向技術),是一種產品設計技術再現過程🤳🏿,即對一項目標產品進行逆向分析及研究,從而演繹並得出該產品的處理流程🔦、組織結構🧎🏻、功能特性及技術規格等設計要素,其主要目的是在不能輕易獲得必要的生產信息的情況下,直接從成品分析,推導出產品的設計原理🦴。 緩沖區溢出是一種非常普遍、非常危險的漏洞🧗🏿♂️🚁,在各種操作系統、應用軟件中廣泛存在🫸🏿✋🏼。利用緩沖區溢出攻擊,可以導致程序運行失敗、系統宕機、重新啟動等後果。更為嚴重的是🧖🏻♂️,可以利用它執行非授權指令🖐🏻,甚至可以取得系統特權,進而進行各種非法操作🙄。 |
考核目的 | 通過緩沖區溢出獲取響應權限執行非授權指令的防護 |
四🚵♂️、獎項設置
團體獎𓀑:按決賽每支參賽團隊3人成績總和進行排名🏋🏽,產生特等獎1名(10000元獎金或等額獎品)、一等獎2名(5000元獎金或等額獎品)、二等獎4名(3000元獎金或等額獎品)、三等獎8名(1000元獎金或等額獎品)🙂↕️🕉。
比賽結束後👩🏻🎨,舉行頒獎儀式🔓,為獲獎團隊和個人頒發上海市教委簽發的獲獎證書及獎金(或獎品)♔。
五👟、有關要求
請各高校高度重視⬛️,認真做好大賽的宣傳發動和組織工作,將大賽舉辦相關信息發布在學校網站的恒行3平台、論壇,並在校園報刊上刊登有關大賽的信息和報名細則,積極動員學生報名參賽,指定專人負責,精心組織好本校參賽團隊的選拔、報名及訓練工作😕。
本次大賽食宿自理,不收取團體及個人任何參賽費用。
六、聯系方式
1.郵箱🏊♂️:shwas@qq.com QQ群💝:515383635
2.聯系電話:021-67792285(趙老師)021-67792809(李老師)
上海市大學生網絡安全大賽組委會
2016.11.08
附件一:
2016年全國大學生網絡安全邀請賽暨第二屆上海市大學生網絡安全大賽賽製.doc
附件二🧔♀️➗:2016年全國大學生網絡安全邀請賽暨第二屆上海市大學生網絡安全大賽報名表.doc