按照《第十二届全国大学生信息安全竞赛—创新实践能力参赛规程与指南》分区选拔赛要求，创新实践能力赛分区选拔赛阶段的应用场景开发需求分为PWN、Web 、Mobile应用服务三类场景，赛队需要根据场景开发的功能特性需求，选择其中的一个场景，开发出符合所要求功能特性的安全应用，并预设创新性的网络安全挑战（挑战其他赛队的网络安全实践能力），构建出在分区选拔赛环节中使用的靶标环境。

一、PWN应用服务场景

1.      使用 C/C++ 源码编译 PWN 程序，不可使用其他语言，允许的编译架构：X86-32、X86-64；

2.      设计的PWN 程序漏洞利用路线仅且只有一条，禁止预设多种获取 flag 的途径；

3.      需要根据 PWN 程序编写出相对应的 check.py 脚本（检查 PWN 程序是否正常工作）以及 exp.py 脚本（验证 PWN 程序漏洞是否可用）；

4.      在 PWN 场景制作完成后需要提供测试视频以验证 check.py 以及 exp.py 正常可用；

5.      PWN 程序统一映射端口：8888，请勿修改此端口；

6.      详细设计信息请参考附件：ciscn_PWN方向设计要求_2019.rar

链接：https://share.weiyun.com/5vTHsK4 密码：jqrz55

二、Web应用服务场景

1.      使用php/python/java/c#等常用编程语言实现，运行在Apache/Nginx/IIS/Weblogic等服务器，后端数据库使用mysql/T-SQL/sqlite3/mongodb等；

2.      设计的WEB安全漏洞利用路线仅且只有一条，禁止预设多种获取 flag 的途径；

3.      需要根据WEB程序编写出相对应的 check.py 脚本（检查 WEB服务是否正常工作）以及 exp.py 脚本（验证 PWN 程序漏洞是否可用）；

4.      在WEB场景制作完成后需要提供测试视频以验证 check.py 以及 exp.py 正常可用；

5.      WEB服务统一映射端口：80，请勿修改此端口；

6.      详细设计信息请参考附件：ciscn_WEB方向设计要求_2019.rar

链接：https://share.weiyun.com/5F53jtM 密码：58vthe

三、Mobile应用服务场景

1.      APP使用Java等APP常用编程语言实现，运行于Android手机端；Web API接口使用php/python/java/c#等常用编程语言实现，运行在Apache/Nginx/IIS/Weblogic等服务器，后端数据库使用mysql/T-SQL/sqlite3/mongodb等；

2.      设计的Web API接口安全漏洞利用路线仅且只有一条，禁止预设多种获取 flag 的途径；

3.      需要提供测试视频以验证 check.py 以及 exp.py 正常可用；

4.      Web API程序统一映射端口：8080，请勿修改此端口；

5.      flag 存放于Web API服务器端`/flag`（Linux），`C:lag.txt`（Windows），并提供更新flag的命令（默认flag请设置为`flag{flag_test}`）；

6.      确保在check服务正常的情况下，能够修补漏洞；

7.      移动端APP提供apk安装包形式，与WEB API服务端的通信接口选手视情况选择是否进行加密。

8.      详细设计信息请参考附件：ciscn_Mobile方向设计要求_2019.zip 。

链接：https://share.weiyun.com/549kQ7R 密码：63h2pv

四、提交靶标环境要求

1. 赛题环境请严格按照设计要求来设计；
2. 晋级队伍需要在5月6日24点前提交自行创新赛题的源码、设计文档、视频演示、题目提示、exp脚本、check脚本等至技术委员会提供的邮箱，提交后将按照提交时间进行编号，由技术委员会负责审核；
3. 参赛队伍如若发现赛题存在问题，可在5月7日至5月10日向技术委员会申请更新赛题，每个队伍仅允许更新一次赛题；赛题最终审核得分会根据赛题难度、题目创新性等多维度考量；
4. 5月6日前没有提交且5月10日前才提交赛题者该环节得分将扣 5 分，不提交赛题的队伍该环节得分为 0。赛题若存在高度雷同的情况下，将直接通报大赛组委会，该环节得分为 0。

提交截止时间：

2019年5月10日12:00分

提交途径：

赛题内容整体打包加密后，发送邮件和附件至：ciscn2019@126.com，请在邮件标题中标明赛区、战队和场景类型（Pwn、Web、Mobile）。

附件加密密码请短信发送至:18280233382 杨老师

注意： 各位同学，在测试pwn的例题时，如发现没有运行权限，可以删除Dockerfile里第7到第16行，也可以把Dockerfile第18行挪到第6行。特此通知！

教育部高等学校网络空间安全专业教学指导委员会

第十二届全国大学生信息安全竞赛—创新实践能力赛技术委员会

电子科技大学信息与软件工程学院

2019年4月26日