第十二届全国大学生信息安全竞赛创新实践能力赛 分区选拔赛应用场景开发需求

按照《第十二届全国大学生信息安全竞赛创新实践能力参赛规程与指南》分区选拔赛要求,创新实践能力赛分区选拔赛阶段的应用场景开发需求分为PWNWeb Mobile应用服务三类场景,赛队需要根据场景开发的功能特性需求,选择其中的一个场景,开发出符合所要求功能特性的安全应用,并预设创新性的网络安全挑战(挑战其他赛队的网络安全实践能力),构建出在分区选拔赛环节中使用的靶标环境。

一、PWN应用服务场景

1.      使用 C/C++ 源码编译 PWN 程序,不可使用其他语言,允许的编译架构:X86-32X86-64

2.      设计的PWN 程序漏洞利用路线仅且只有一条,禁止预设多种获取 flag 的途径;

3.      需要根据 PWN 程序编写出相对应的 check.py 脚本(检查 PWN 程序是否正常工作)以及 exp.py 脚本(验证 PWN 程序漏洞是否可用);

4.      PWN 场景制作完成后需要提供测试视频以验证 check.py 以及 exp.py 正常可用;

5.      PWN 程序统一映射端口:8888,请勿修改此端口;

6.      详细设计信息请参考附件:ciscn_PWN方向设计要求_2019.rar

链接:https://share.weiyun.com/5vTHsK4 密码:jqrz55

二、Web应用服务场景

1.      使用php/python/java/c#等常用编程语言实现,运行在Apache/Nginx/IIS/Weblogic等服务器,后端数据库使用mysql/T-SQL/sqlite3/mongodb等;

2.      设计的WEB安全漏洞利用路线仅且只有一条,禁止预设多种获取 flag 的途径;

3.      需要根据WEB程序编写出相对应的 check.py 脚本(检查 WEB服务是否正常工作)以及 exp.py 脚本(验证 PWN 程序漏洞是否可用);

4.      WEB场景制作完成后需要提供测试视频以验证 check.py 以及 exp.py 正常可用;

5.      WEB服务统一映射端口:80,请勿修改此端口;

6.      详细设计信息请参考附件:ciscn_WEB方向设计要求_2019.rar

链接:https://share.weiyun.com/5F53jtM 密码:58vthe

三、Mobile应用服务场景

1.      APP使用JavaAPP常用编程语言实现,运行于Android手机端;Web API接口使用php/python/java/c#等常用编程语言实现,运行在Apache/Nginx/IIS/Weblogic等服务器,后端数据库使用mysql/T-SQL/sqlite3/mongodb等;

2.      设计的Web API接口安全漏洞利用路线仅且只有一条,禁止预设多种获取 flag 的途径;

3.      需要提供测试视频以验证 check.py 以及 exp.py 正常可用;

4.      Web API程序统一映射端口:8080,请勿修改此端口;

5.      flag 存放于Web API服务器端`/flag`Linux),`C: lag.txt`Windows),并提供更新flag的命令(默认flag请设置为`flag{flag_test}`);

6.      确保在check服务正常的情况下,能够修补漏洞;

7.      移动端APP提供apk安装包形式,与WEB API服务端的通信接口选手视情况选择是否进行加密。

8.      详细设计信息请参考附件:ciscn_Mobile方向设计要求_2019.zip

链接:https://share.weiyun.com/549kQ7R 密码:63h2pv

四、提交靶标环境要求

1. 赛题环境请严格按照设计要求来设计;
2. 晋级队伍需要在5月6日24点前提交自行创新赛题的源码、设计文档、视频演示、题目提示、exp脚本、check脚本等至技术委员会提供的邮箱,提交后将按照提交时间进行编号,由技术委员会负责审核;
3. 参赛队伍如若发现赛题存在问题,可在5月7日至5月10日向技术委员会申请更新赛题,每个队伍仅允许更新一次赛题;赛题最终审核得分会根据赛题难度、题目创新性等多维度考量;
4. 5月6日前没有提交且5月10日前才提交赛题者该环节得分将扣 5 分,不提交赛题的队伍该环节得分为 0。赛题若存在高度雷同的情况下,将直接通报大赛组委会,该环节得分为 0。

提交截止时间:

201951012:00

提交途径:

赛题内容整体打包加密后,发送邮件和附件至:ciscn2019@126.com,请在邮件标题中标明赛区、战队和场景类型(PwnWebMobile)。

附件加密密码请短信发送至:18280233382 杨老师

注意: 各位同学,在测试pwn的例题时,如发现没有运行权限,可以删除Dockerfile里第7到第16行,也可以把Dockerfile第18行挪到第6行。特此通知!

 

 

教育部高等学校网络空间安全专业教学指导委员会

第十二届全国大学生信息安全竞赛创新实践能力赛技术委员会

电子科技大学信息与软件工程学院

2019426








技术支持与保障360数字安全集团 ●  国卫信安         备案号:京ICP备15033807号-5

中国互联网发展基金会主办