競賽題目大綱
CTF挑戰賽一 內容大綱
Web (Web安全/代碼審計)
- HTTP會話分析,針對SQL Server、MySQL、TiDB、OceanBase、TDSQL、SQLite等資料庫的SQL注入漏洞利用,越權訪問漏洞利用,檔上傳漏洞利用,目錄流覽漏洞、檔包含漏洞、命令執行、中間件漏洞(Weblogic漏洞、TongWeb漏洞等)等其他漏洞的攻擊方式。
- 基本的代碼審計流程,熟練掌握常見的代碼審計自動化工具和人工審查方式。能夠對PHP、JAVA、Node.JS、Golang、Python等程式源代碼進行檢查和分析,發現這些源代碼缺陷引發的安全漏洞。
Crypto (密碼與編碼)
- 編碼技術,如摩爾斯電碼、Base64編碼、URL編碼、Unicode編碼、ASCII編碼、柵欄編碼等主流的編解碼方式。
- 古典密碼學,如凱撒、仿射、維吉尼亞等。熟練掌握常用加密演算法如RSA、AES、DES等,能夠實現基本的加密和解密過程。
- 熟練掌握常用國密演算法如SM1、SM2、SM3、SM4等。
PWN(溢出攻擊)
- 熟練掌握常見的棧溢出攻擊,包含但不限於Ret2系列、格式化字串、ROP等。
- 熟練掌握系統的保護機制及相關繞過技術,包含但不限於canary保護、NX、PIE等。
- 熟練掌握常見的堆溢出攻擊,包含但不限於UAF、house of系列、double of free、offbyone等。
MISC(安全雜項(隱寫術/資訊隱藏/數據取證))
- 熟練掌握圖像檔資訊隱藏,音頻檔資訊隱藏等資訊隱藏方式等。
- 熟練掌握常見的隱寫技術,如圖像隱寫,音頻隱寫,視頻隱寫,熟練掌握使用各類雜項工具從可疑圖像、音頻或視頻等檔中破解出可用資訊的技能,包含但不限於steghide、LSB、stegdetect、wbs43open、MP3Stego、Image Steganography等。
- 熟練掌握網路流量分析,日誌分析,數據恢復,APP取證等分析技能。
- 熟練掌握對流量包進行修復、取證和分析的技能,能夠對數據包中的流量進行有效過濾和篩選,分析相關協議,併發現異常,實現對可用數據的提取。
REVERSE(逆向)
- 熟練掌握Windows PE檔逆向分析、Linux二進位檔逆向分析、Android 移動應用 APK 檔逆向分析。
- 熟練掌握逆向工程中常見的軟體保護、反編譯、反調試、加殼脫殼以及加密演算法解密技術,考查對軟體的逆向分析,反編譯等能力。
- 熟練掌握其他高級語言逆向分析,包含但不限於.NET、Python、Golang、Rust等。
AWD挑戰賽二 內容大綱
針對真實互聯網系統和網路情況進行最大限度的仿真,參賽團隊需對其進行攻擊和防護,競賽過程參考真實世界資訊通信系統,重點考察參賽選手針對資訊通信系統安全機制的理解,收集分析數據並在此基礎上實施滲透測試的理論知識與實戰能力,賽題場景模擬行業網路架構與設備職能,選手需注意不斷收集線索和數據,發現己方漏洞並做出防護,同時利用發現的漏洞對場內其他賽隊的環境進行攻擊。資訊收集、漏洞挖掘、主機探測、代碼審計、後門查殺、安全加固等。