网络攻防赛细则.pdf

上海市大学生网络安全大赛组委会

2018 年全国大学生网络安全邀请赛暨
第四届上海市大学生网络安全大赛
网络攻防赛细则

一、预赛
1、预赛采用在线解题模式，题目为 CTF 在线解题，采取网络答
题方式进行。
2、队伍中参赛队员通过网页在线答题并提交答案。赛题类型为
CTF 比赛的五大类：杂项、密码学、Web 安全、逆向。
3、解题过程需通过离线分析或在线交互克服技术挑战后获取
Flag，提交验证正确后给予相应分数。不允许频繁提交 FLAG，提交
间隔不小于 5 分钟。
4、若在限定时间内没有队伍解出题目，由主办方给出提示。
5、禁止攻击比赛平台，违者取消此次比赛资格，如果发现平台
漏洞，请务必联系主办方。
6、最终成绩取参赛团队总分由高至低排列，分数相同情况下，
按提交时间算，用时短者排名高于用时较长者，产生 20 支决赛队。
二、决赛
1、赛题类型
分类为：包括 web 渗透，漏洞挖掘与利用，等方面。
难度等级为高、中、低。难度分布为高（20％）、中（40％）、低
（40％）。
赛题实例:
1
1) 初级难度
题目名称 社会工程学
题目分类 web 安全、社会工程
难易级别 初级人员
考核知识点 暴力猜解、信息收集
知识点描述 社会工程学是一种人为心理学的攻击手段，本类赛题主要考察参赛队员
综合实力包含保护技术以及心理素质。
考核目的 个人资料及其他信息的保护。
2) 中级难度
题目名称 代码审计+上传漏洞
题目分类 WEB 安全
难易级别 在代码编写上有一定的基础的进阶人员
考核知识点 抓包改包、解析漏洞、上传漏洞、代码审计
知识点描述 代码审计：检查源代码中的缺点和错误信息，分析并找到这些问题引发
的安全漏洞；
上传漏洞：该漏洞的原因在于代码作者没有对访客提交的数据进行检验
或者过滤不严，可以直接提交修改过的数据绕过扩展名的检验。
考核目的 1、查找漏洞，通过漏洞进一步提升权限，考察漏洞的修补。
2、利用上传漏洞可以直接得到网站控制权限，考察上传漏洞的防护。
3) 高级难