第十六届全国大学生信息安全竞赛 ——创新实践能力赛线上初赛参赛手册

第十六届全国大学生信息安全竞赛

——创新实践能力赛线上初赛参赛手册

一、大赛背景

为积极响应国家网络空间安全人才战略,加快攻防兼备创新人才培养步伐,实现以赛促学、以赛促教、以赛促用,推动网络空间安全人才培养和产学研用生态发展,由国防科技大学与中国科学技术大学联合承办的第十六届全国大学生信息安全竞赛——创新实践能力赛(以下简称“大赛”)将2023年4月至2023年8月举行,面向全国高校在校生开放。

二、初赛安排

表1 初赛安排时间表

时  间

赛  程

5月26日

14:00-18:00

选手登录平台进行赛前测试

5月27日

09:00-12:00

知识问答环节

09:00-16:00

场景实操环节

16:00-17:00

场景实操环节-黑灯模式

5月28日

09:00-16:00

场景实操环节

16:00-17:00

场景实操环节-黑灯模式

17:00-20:00

所有参赛战队提交WriteUp

大赛工作组将会在官方资格赛开赛前一天向成功报名的选手预留手机号中发送短信通知,请各参赛选手注意查收。届时会通知比赛平台开放的具体时间、参赛账号和初始密码(已注册过i春秋账号的同学可直接使用自己设置的密码登录),参赛选手可按短信中的要求,登录平台进行账号测试。如未接收到相关短信,或在测试过程中遇到问题,请联系大赛技术支持相关工作人员,联系方式详见文末表4。

三、报名时间与地址

报名时间:4月27日-5月25日

报名地址:http://www.ciscn.cn

四、比赛地址

https://ctf.ichunqiu.com/2023ciscn5月26日对外开放

五、赛制:知识问答+场景实操

线上初赛由大赛技术委员会命题,采用在线答题模式,题目覆盖多种创新实践能力基础技能,由知识问答环节和场景实操环节两部分组成。

(一)知识问答环节说明

以选择题的方式考察,主要涵盖政策法规、网络安全、数据安全等方面的知识,问答比赛规则如下:

1.知识问答环节共10道选择题,每题10分,共100分;

2.各参赛战队需在平台上观看5段视频,每看完1段视频后将出现2道选择题;

3.答题时间限制在第一天的3h时间内作答,第二天不能作答。如未在规定时间内参与答题则该环节得分为零;

4.以战队为单位参赛,同战队内所有参赛队员皆可答题,每支参赛队伍每道题目仅有一次提交答案机会,已经提交的答案不支持修改。

(二)场景实操(CTF夺旗赛)环节说明

各参赛队员登录比赛地址,进入到比赛平台,以队伍为单位进行答题,每道赛题均内置1个flag。每道题目有不同的网络或应用场景,参赛者需要采用在线操作或离线分析的方式,获取到埋藏在题目中的特殊字符串(俗称“flag”),通过在平台提交正确的flag获取得分。未提交或提交错误不得分。比赛结束后3小时内,参赛队需提交每道赛题详细的解题报告(WriteUp)。

(三)场景实操考核范围

赛题类型主要包括:Web安全、二进制漏洞挖掘利用、逆向分析与移动安全、密码分析、安全编程等。

表2 赛题类型表

类  型

主要考察范围

Web安全

及SQL注入、XSS跨站脚本、文件上传、文件包含等漏洞,涉及PHP、Java、Python、Go等语言代码审计问题,涉及渗透测试相关技术

二进制漏洞挖掘利用

及Linux、Windows、嵌入式平台应用的二进制漏洞挖掘与利用技术

逆向分析与移动安全

涉及Windows、Linux、Android平台的加解密分析、算法逆向、反调试和代码混淆等软件逆向技术

杂项

涉及信息搜集、编码分析、取证分析、隐写分析等

密码学

涉及古典密码学、现代密码学、国密算法等

网络安全新技术

涉及人工智能安全、工控安全、信息技术应用创新、量子通信与计算、可信计算等

(四)场景实操计分方式

场景实操环节采用动态积分方式,即每一道题目初始分数相同(500分)。题目分值随着解题队伍数量的增加将随之减少,且所有解出此题的队伍所持有的分数都会动态减少。若题目没有被成功解出,则题目分数保持不变。譬如某赛题初始分值为500分,第一支解出该题目的战队将获得500分。若陆续有队伍解出该题目,则该题目的分数随之减少,同时所有解出该题的队伍得分都将会随着题目的当前分值动态调整。签到题以外的题目最先回答出来的三个队伍分别获得3%、2%和1%额外分数加成。

注:题目分数衰减公式为:

解出该题人数=0时:实时分数 = 题目分数

解出该题人数>0时:实时分数 = 题目分数 * (1/(0.05*(解出该题的队伍数+19)))

每道题目最低衰减值为50分。

六、计分规则

战队最终得分 = 知识问答得分 + 场景实操得分

七、录屏要求

本次大赛将采用严格的反作弊机制,建议所有参赛选手对比赛所使用的电脑进行屏幕录制,作为反作弊申诉的重要依据。屏幕录制的相关要求如下:

1.参赛选手可根据不同机型及操作系统自行选择录屏软件(推荐使用EVCapture录屏软件、OBS录屏软件、Mac自带录屏软件QuickTime等),不做强制要求。参赛选手需在赛前进行下载安装及调试,比赛前不再提供下载安装及调试时间;

2.参赛选手只能在参赛电脑的操作系统上录屏,录屏不能在远程登录的系统或虚拟机中进行录屏;如参赛选手在解题过程中涉及分屏或多屏操作,则所有屏幕均需录制;

3.使用部分录屏软件时,录制时长过久会造成视频数据无法及时写入硬盘,使得内存中堆积大量数据,录屏软件申请不到新的内存而停止,从而导致录屏失败。因此,请参赛选手根据不同软件所需,每2小时或3小时保存一次录屏文件,随后马上开启新的一次录屏。除手动保存录屏文件外,比赛期间屏幕录制不能中断;

4.参赛选手不得对录屏文件有任何的剪辑或后期加工处理。录屏视频时长均需涵盖两天比赛全程9:00-17:00,所录视频内容必须包括:对题目进行分析及测试过程、脚本编写及运行过程、获取flag及提交flag过程,以及必须包括选手、队伍信息和实时时间信息等。

八、平台操作说明


(一)平台登录界面

image.png

图1 平台登录界面

1.【账号】:在报名表中预留的参赛选手手机号;

2.【密码】:短信通知中的初始密码或自行设置的密码;

3.【验证码】:右侧图案中数字及字母(不区分大小写);

4.点击【登录】即可进入答题界面。

注:如果忘记密码可点击登录页面中的“忘记密码”选项,按提示找回密码,如未能成功找回,可联系平台技术支持工作人员进行找回,联系方式详见表4。

(二)题目列表

image.png

图2 题目列表

:2为示例,非本次比赛题目

点击题目即可进入获得题目信息

image.png

图3 题目信息

如图3所示,在赛题详情页面可以查看赛题信息、启动环境以及提交赛题flag。参赛团队通过漏洞挖掘与利用、代码分析等方式,从题目环境中得到一串具有一定格式的字符串或其他内容,并将其在平台上提交,经平台验证正确后获得该题目分值。

(三)黑灯模式

在每天的比赛结束前最后一小时进入“黑灯搏杀”模式,届时观战界面的排行榜、选手答题页面的排名、得分、攻克题目数等将不再展示,黑灯模式结束后恢复普通模式。

在每天比赛的最后一小时中,每个队伍只有2次提交正确flag的机会,每提交一道赛题的正确flag扣除一次,提交错误flag不扣除次数,提交0解题目的正确flag(获得一血)不扣除次数。可提交flag机会次数为0时,不允许再提交非0解题的flag。所有0解题的题目名将在比赛公告里实时公布。

(四)注意事项

1.关于Docker容器下发:每个队伍同时只能下发2个容器。请由成功申请下发容器的队员,用自己的账号提交flag。容器下发后,如访问不到地址请稍候重试刷新,如果提示错误可稍后再重新申请下发;

2.比赛过程中禁止跨战队交流解题思路、答案等赛题相关内容。比赛过程中各战队需保护好自己战队的唯一标识token(根据题目需要下发),不得将战队token、容器地址等信息分享到战队以外。也禁止从其他战队获取任何和题目相关的内容;

3.WriteUp提交时间:28日比赛结束后3小时内请所有参赛战队提交场景实操题目的解题思路(WriteUp),不提交或逾期视为自动放弃晋级资格,提交格式为PDF文件;

4.大赛采用动态flag反作弊、IP漂移监控、流量镜像分析等监控技术,发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校;

5.比赛自开始至结束除了和大赛秘书处、组委会、裁判组、平台客服沟通外,禁止参赛选手以任何形式、在任何场合交流、讨论赛题及解题思路。一经发现组委会有权取消其比赛成绩,情节严重者将通报所在学校。

九、联系我们

大赛联系人:

李老师(国防科技大学)      电话:18110991801

吴老师(中国科学技术大学)  电话:13855170994

大赛秘书处邮箱:info@ciscn.cn

表3 大赛官方QQ群列表

image.png

注:如后续再开群,将另行通知。

表4 线上初赛技术支持联系方式列表

image.png

预祝各位参赛选手取得好成绩!

 

 


                
第十六届全国大学生信息安全竞赛

——创新实践能力赛竞赛组委会

(国防科技大学电子对抗学院代章)

2023年5月17日


第十六届全国大学生信息安全竞赛 创新实践能力赛线上初赛参赛手册.pdf

技术支持与保障360数字安全集团 ●  国卫信安         备案号:京ICP备15033807号-5

中国互联网发展基金会主办