福建网络安全技能竞赛指引.docx

福建省第一届网络安全技能竞赛指南一、赛制介绍决赛人数：80人参数方式：个人赛决赛时间：9月11日参赛队伍：各基础电信运营企业、各相关增值电信运营 企业赛制安排：为切实提升参赛单位的网络信息安全保障能 力，检验参赛人员的网络信息安全综合能力，本次大赛将采 用国际国内流行的混合模式的比赛赛制，即CTF赛（解 题+夺旗竞速题）+攻防对抗赛二种模式混合展开前2个小 时所有队员参加CTF赛,CTF赛时间结束时，前30名参赛 队员直接进入攻防赛，攻防赛持续3个小时，其余参赛队员 继续进行CTF赛的排位赛，3小时后同时结束比赛，中途不 离场奖项设置:本次决赛设一等奖1名，二等奖4名，三等奖 10名，攻防赛优秀奖15名，CTF赛优秀奖10名由竞赛 组委会颁发获奖证书国家互联网应急中心福建分中心将聘 任部分优秀选手为我省网络安全专家二、赛事内容1、 CTF赛• CTF赛模式，根据要求，可设置理论答题、在 线解题、夺旗竞速等题目类型.•比赛会以多种方式体现，如提供一个有漏洞的网站、 提供一段网络流量、给出一个加密后的数据或经过隐写后的 文件等方式，选手通过解题获得相应题目中的Flag （旗标文 件），并提交至评分系统以获得相应的分值。

•解题后将答案提交至评分系统，评分系统将自动判断答案，若回答正确将获得相应分值2、攻防对抗赛•攻防对抗赛比赛过程中，所有参赛队伍之间互为攻防目标，每个参赛队伍有1个防守机，在做好防守机防守工作 的同时可以攻击所有参赛队伍的防守机获取Flag•为每个参赛队提供1个网络场景，包含1台防守服务 器和1台Flag服务器各参赛队伍之间网络可以联通（路 由可达）•每个参赛队伍配置1台防守机，同时本队的防守机也 是所有参赛队伍的目标靶机，在防护本队防守机不被其他队 伍攻陷的同时，需要保护防守机内置端口为运行状态•在服务器上存在若干漏洞，攻击成功后，可通过应用 服务器连接到Flag服务器，得到特定位置的Flag，在平台 提供的答题界面提交Flag• Flag每五分钟更新一次，参赛选手需尽快修复漏洞， 否则其他队会利用此漏洞重复获得Flag，造成本队持续失分三、 题型涉及知识范围比赛题型知识范围包括但不限于：1、 WEB安全、渗透测试（SQL注入、上传XSS、代 码执行、文件写入、框架漏洞）、安全防护（漏洞修复）2、 逆向分析（反调试、破解技术）3、 代码审计（脚本代码分析、二进制代码分析）4、 缓冲区溢出（栈溢出、堆溢出、整数溢出）5、 脱壳技术6、 编程开发7、 密码学四、 题目考点比赛题型知识范围包括但不限于：1、WEB安全、渗透测试（SQL注入、上传XSS、代 码执行、文件写入、框架漏洞）、安全防护（漏洞修复）（1）名词解释：WEB安全：基于Web环境的互联网应用越来越广泛， 企业信息化的过程中各种应用都架设在Web平台上，黑客 利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞 等得到Web服务器的控制权限，轻则篡改网页内容，重则 窃取重要内部数据，更为严重的则是在网页中植入恶意代 码，使网站访问者受到侵害。

这也使越来越多的用户关注应 用层的安全问题，对Web应用安全的关注度也逐渐升温渗透测试：简单的说渗透测试就是一种通过模拟恶意攻 击者的技术与方法，挫败目标系统安全控制措施，取得访问 控制权，评估重要业务应用系统存在的安全风险安全防护：针对已知的、已经公布的操作系统和应用程 序的安全缺陷进行修复与安装漏洞补丁，保证系统和应用程 序可以安全运行2） 考点：SQL注入：通过GET、POST、Cookies提交请求使数 据库执行恶意数据库代码上传漏洞：绕过源码验证与利用解析漏洞上传恶意文 件代码执行：利用可输入的内容让目标执行恶意代码框架漏洞：如DZ、wordpress等常用CMS系统的漏洞 利用3） 举例说明：题目名称：HDWiki5.1注入漏洞危害分析及防范题目描述：当HTML的表单被提交时，每个表单的信息 都会被URL编码加密之后发送到服务器；服务器端接收到 信息后，会自动进行URL解码，接着再将信息传递给php 解释器进行一些其它的操作为什么进行URL编码呢？假 如不进行URL编码，像key=value这样的多个键值对在传 输时会形成类似于 key1=ichunqiu1&key2=ichunqiu2&xxx&key3=ichunqi u3，这样的字符串在解析时就会发生混乱，服务器会将key2 的值解析为ichunqiu2从而丢失了字符。

而URL编码的意义 就在于避免歧义，它会将除英文字母（a-z、A-Z X数字（0-9 X “-_.~”4个特殊字符以及所有保留字符以外的字符，自动转换 为百分号加原字符ASCII码的十六进制数，当然这些字符也 可以使用百分号加自己的ASCII码的十六进制数表示4）解题思路：了解为什么GBK编码"吃”ASCII码一个字节探讨利用 GBK编码"吃”ASCII码一个字节绕过加反斜杠转义的方法2、 逆向分析（反调试、破解技术）（1） 名词解释：病毒查杀系列2） 考点：对病毒进行静态分析和动态分析，掌握处 理恶意程序的思想3） 举例说明：对病毒进行逆向分析，可以彻底弄清 楚病毒的行为，从而采取更有效的针对手段一般来说，对 病毒的静态分析，我们采用的工具是IDA Pro，动态分析则 采用 OllyDbg4） 解题思路：利用查壳工具检查病毒是否带壳，利 用OllyDBG与IDA Pro，在静态与动态层面分析病毒3、 缓冲区溢出（栈溢出、堆溢出、整数溢出）（1）名词解释：缓冲区溢出是一种非常普遍、非常危 险的漏洞，在各种操作系统、应用软件中广泛存在利用缓 冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启 动等后果。

更为严重的是，可以利用它执行非授权指令，甚 至可以取得系统特权，进而进行各种非法操作2） 考点：通过编写和分析简单溢出程序，了解缓冲 区溢出漏洞3） 举例说明：题目名称：缓冲区溢出的原理题目描述：主要是利用getchar（）等脆弱性函数在执行时 没有检查缓冲区长度的特性，通过往程序的缓冲区写超出其 长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造 成程序崩溃或使程序转而执行其它指令，以达到攻击的目 的4） 解题思路：理解CALL指令和返回地址的概念， 观察正常程序的栈空间情况，观察存在溢出问题的程序的栈 空间情况五、赛事秩序•参赛选手需自备笔记本电脑、电源，鼠标等，建议安 装有Windows XP、 Win7或Win8操作系统及Firefox或 Chrome浏览器•参赛选手自备的软件工具需提交现场裁判检查，说明 用途后由工作人员上传赛事服务器，供本参赛选手使用•参赛选手需在工作人员指导下安装插件测试网络和环 境•参赛选手须凭有效身份证件及参赛证进入赛场•参赛选手自带的软件工具不允许包括劫持类、流量攻 击类工具•所有选手必须在工作人员的监督下安装比赛相关插 件•比赛期间，禁止使用、平板电脑等任何形式的通 讯工具。

•参赛选手在比赛期间需遵循裁判及现场工作人员的 安排，如有疑问请举手示意•参赛选手未经裁判同意，禁止进入他人赛位，干扰其 他队伍比赛•比赛过程中严禁参赛选手向比赛服务器、参赛选手主 机等设施发起任何可能影响比赛正常进行的攻击或恶意操 作•裁判宣布比赛结束时，所有队伍应立即停止所有操 作，即刻离场•遵守大赛纪律，切勿喧哗，服从裁判，不得对他人进 行语言或人身攻击违反上述规定者，现场裁判组将视情给予口头警告、扣分、 取消参赛资格等处罚。