福建第一届网络安全技能竞赛指引

1、福建省第一届网络安全技能竞赛指南一、赛制介绍决赛人数：80人。参数方式：个人赛。决赛时间：9月11日。参赛队伍：各基础电信运营企业、各相关增值电信运营 企业。赛制安排：为切实提升参赛单位的网络信息安全保障能力，检验参赛人员的网络信息安全综合能力，本次大赛将采 用国际国内流行的混合模式的比赛赛制，即CTF赛（在线解题+夺旗竞速题）+攻防对抗赛二种模式混合展开。前2个小时所有队员参加 CTF赛,CTF赛时间结束时，前 30名参赛 队员直接进入攻防赛，攻防赛持续3个小时，其余参赛队员继续进行CTF赛的排位赛，3小时后同时结束比赛， 中途不 离场。奖项设置：本次决赛设一等奖1名，二等奖4名，三等奖 1

2、0名，攻防赛优秀奖15名，CTF赛优秀奖10名。由竞赛 组委会颁发获奖证书。国家互联网应急中心福建分中心将聘 任部分优秀选手为我省网络安全专家。二、赛事内容1、CTF 赛CTF赛模式，根据要求，可设置在线理论答题、在 线解题、夺旗竞速等题目类型.比赛会以多种方式体现，如提供一个有漏洞的网站、提供一段网络流量、给出一个加密后的数据或经过隐写后的文件等方式，选手通过解题获得相应题目中的Flag （旗标文件），并提交至评分系统以获得相应的分值。解题后将答案提交至评分系统，评分系统将自动判断答案，若回答正确将获得相应分值。2、攻防对抗赛攻防对抗赛比赛过程中， 所有参赛队伍之间互为攻防目标，每个参赛队伍

3、有 1个防守机，在做好防守机防守工作 的同时可以攻击所有参赛队伍的防守机获取Flag。为每个参赛队提供1个网络场景，包含1台防守服务器和1台Flag服务器。各参赛队伍之间网络可以联通（路由可达）。每个参赛队伍配置1台防守机，同时本队的防守机也 是所有参赛队伍的目标靶机，在防护本队防守机不被其他队 伍攻陷的同时，需要保护防守机内置端口为运行状态。在服务器上存在若干漏洞， 攻击成功后，可通过应用 服务器连接到Flag服务器，得到特定位置的 Flag，在平台 提供的答题界面提交 Flag。Flag每五分钟更新一次，参赛选手需尽快修复漏洞，否则其他队会利用此漏洞重复获得Flag，造成本队持续失分。三、

4、题型涉及知识范围比赛题型知识范围包括但不限于：1、WEB安全、渗透测试（SQL注入、上传 XSS、代 码执行、文件写入、框架漏洞）、安全防护（漏洞修复）2、逆向分析（反调试、破解技术）3、代码审计（脚本代码分析、二进制代码分析）4、缓冲区溢出（栈溢出、堆溢出、整数溢出）5、脱壳技术6、编程开发7、密码学四、题目考点比赛题型知识范围包括但不限于：1、WEB安全、渗透测试（SQL注入、上传XSS、代 码执行、文件写入、框架漏洞）、安全防护（漏洞修复）（1）名词解释：WEB安全：基于 Web环境的互联网应用越来越广泛， 企业信息化的过程中各种应用都架设在Web平台上，黑客利用网站操作系统的漏洞和 W

5、eb服务程序的SQL注入漏洞 等得到Web服务器的控制权限，轻则篡改网页内容，重则 窃取重要内部数据，更为严重的则是在网页中植入恶意代 码，使网站访问者受到侵害。这也使越来越多的用户关注应 用层的安全问题，对 Web应用安全的关注度也逐渐升温。渗透测试：简单的说渗透测试就是一种通过模拟恶意攻 击者的技术与方法，挫败目标系统安全控制措施，取得访问 控制权，评估重要业务应用系统存在的安全风险。安全防护：针对已知的、已经公布的操作系统和应用程 序的安全缺陷进行修复与安装漏洞补丁，保证系统和应用程 序可以安全运行。（2）考点：SQL注入：通过 GET、POST、Cookies提交请求使数 据库执行恶意

6、数据库代码。上传漏洞：绕过源码验证与利用解析漏洞上传恶意文件。代码执行：利用可输入的内容让目标执行恶意代码。框架漏洞：如DZ、wordpress等常用CMS系统的漏洞 利用。（3）举例说明：题目名称：HDWiki5.1注入漏洞危害分析及防范题目描述：当HTML的表单被提交时，每个表单的信息 都会被URL编码加密之后发送到服务器；服务器端接收到 信息后，会自动进行 URL解码，接着再将信息传递给php解释器进行一些其它的操作。为什么进行URL编码呢？假如不进行URL编码，像key=value这样的多个键值对在传 输时会形成类似于key1=ichunqiu1 &key2=ichun

7、qiu2 &xxx&key3=ichunqiu3，这样的字符串在解析时就会发生混乱，服务器会将key2的值解析为ichunqiu2从而丢失了字符。而URL编码的意义 就在于避免歧义，它会将除英文字母（a-z、A-Z ）、数字（0-9 ）、 -_.”个特殊字符以及所有保留字符以外的字符，自动转换为百分号加原字符 ASCII码的十六进制数，当然这些字符也 可以使用百分号加自己的 ASCII码的十六进制数表示。（4、解题思路：了解为什么GBK编码“吃ASCII码一个字节。探讨利用GBK编码“吃ASCII码一个字节绕过加反斜杠转义的方法。2、逆向分析（反调试、破解技术）（1、名词解释：

8、病毒查杀系列。（2、考点：对病毒进行静态分析和动态分析，掌握处 理恶意程序的思想。（3、举例说明：对病毒进行逆向分析，可以彻底弄清 楚病毒的行为，从而采取更有效的针对手段。一般来说，对 病毒的静态分析，我们采用的工具是IDA Pro，动态分析则采用 OllyDbg。（4、解题思路：利用查壳工具检查病毒是否带壳，利 用OllyDBG 与IDA Pro，在静态与动态层面分析病毒。3、缓冲区溢出（栈溢出、堆溢出、整数溢出）（1、名词解释：缓冲区溢出是一种非常普遍、非常危 险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓 冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启 动等后果。更为严重的是

9、，可以利用它执行非授权指令，甚 至可以取得系统特权，进而进行各种非法操作。（2 ）考点：通过编写和分析简单溢出程序，了解缓冲 区溢出漏洞。（3）举例说明：题目名称：缓冲区溢出的原理。题目描述：主要是利用getchar（）等脆弱性函数在执行时 没有检查缓冲区长度的特性，通过往程序的缓冲区写超出其 长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造 成程序崩溃或使程序转而执行其它指令，以达到攻击的目 的。（4）解题思路：理解 CALL指令和返回地址的概念， 观察正常程序的栈空间情况，观察存在溢出问题的程序的栈 空间情况。五、赛事秩序参赛选手需自备笔记本电脑、电源，鼠标等，建议安装有 Windows XP、Win7或 Win8操作系统及 Firefox或 Chrome浏览器。参赛选手自备的软件工具需提交现场裁判检查，说明用途后由工作人员上传赛事服务器，供本参赛选手使用。参赛选手需在工作人员指导下安装插件、测试网络和环境。参赛选手须凭有效身份证件及参赛证进入赛场。参赛选手自带的软件工具不允许包括劫持类、流量攻击类工具。所有选手必须在工作人员的监督下安装比赛相关插 件。比赛期间，禁止使用手机、平板电脑等任何形式的通 讯工具。参赛选手在比赛期间需遵循裁判及现场工作人员的 安排，如有疑问请举手示意。参赛选手未经裁判同意， 禁止进入他人赛位，干扰其 他