4月19日,2020数字中国创新大赛——虎符网络安全赛道初赛正式结束,最终入围决赛的35支队伍名单将在4月25日前揭晓,并将在决赛时与5支顶级特邀战队同台竞技。
据了解,此次虎符网络安全赛道初赛采用了CTF(Capture the Flag,即夺旗赛)竞赛形式,为了保证比赛的公平性,比赛还引入了永信至诚自主研发的"烽火台反作弊系统",以监控比赛过程中的异常行为。
据悉,此次初赛的部分赛题考点基于国产操作系统"PK系统"(飞腾CPU+麒麟OS操作系统)进行设定,是国内首个基于双系统(Wintel+PK)举办的国家级网络安全赛事。"因此,PK系统"对于很多参赛战队而言也充满了新鲜感和未知性。虽然这在一定程度上增加了比赛的难度,但各个战队的表现依然可圈可点。
截至4月19日17点,初赛正式结束,来自上海交通大学的"0ops战队"、来自杭州电子科技大学的"Vidar-Team战队"、来自东北大学的"NEX战队"分别以2345分、2195分、1603分位列积分榜前三甲。
虎符网络安全赛道裁判组表示,初赛结束后,裁判组将结合参赛选手的解题思路(Write Up)做最后的成绩核对,决赛晋级名单将于4月25日前公布,谁将获得本次大赛线下决赛的入场券,我们拭目以待!
虎符网络安全赛道赛题专家组表示,本次比赛的PWN题包括常见的x86架构,以及仿麒麟系统的arm架构,赛题内容考察了常见加密算法的使用和分析,不同版本的libc下的漏洞利用,以及exp脚本的灵活编写,考验选手的逆向分析功底和漏洞利用能力。
WEB题目结合真实网络的实际场景设计了多个考点,全面考察了选手黑盒渗透测试和白盒代码审计的能力,考点包括Session伪造、文件上传、配置错误造成的信息泄露;以纯黑盒的形式进行WAF的Bypass,并进一步实现沙盒逃逸等,充分体现了网络攻防技术的真实应用。
Reverse题目从逆向技巧到底层进行多方面考察,Crypto题目考察了对加密算法的深层理解,Misc题型则是贴近生活,题目思路来源自日常生活的可能存在的安全问题。
据虎符网络安全赛道组委会介绍,决赛将采用 AWD (Attack With Defense,攻防兼备)赛制。
除此之外,决赛还增设了"PK系统众测挑战"环节,PK系统众测挑战的分数权重高达35%。赛题专家组表示,决赛PK部分赛题将围绕着"PK系统"的现场应用进行设置,将利用典型漏洞构建题目场景,考验选手对典型漏洞的分析、利用及修复能力,以及实战攻防过程中的即时策略能力和团队配合能力。
每支战队最多可以发起5次挑战,每次挑战派出1名队员,任选一档难度的题目,需要在30分钟内完成挑战。挑战结束后,经过PK系统专家确认即可得分。如果专家认定参赛选手在漏洞利用方式、绕过思路等对抗过程环节中具有出彩的表现,还可以给予一定值的附加分。
赛题专家组表示,希望通过增设"PK系统众测挑战"环节,增加比赛的竞技性,同时也希望能鼓励和激发出每支参赛队伍在解题思路和方式上的创新性。专家很期待各支战队在决赛的精彩表现,从侧面去验证PK系统的安全性。
2020数字中国创新大赛是数字中国建设峰会的高端专业核心赛事和重要组成部分,由数字中国建设峰会组委会主办。本届大赛以"培育数字经济新动能,助推数字中国新发展"为主题,采取多赛道并行的竞赛形式,设置了数字政府、智慧医疗、鲲鹏计算、虎符网络安全、区块链、中小学生等"5+1"赛道,分别围绕政务大数据应用、信息技术创新应用、医疗行业智慧化、网络安全、区块链技术、中小学生兴趣培养等内容设置赛题。
其中,虎符网络安全赛道由福建省数字福建建设领导小组办公室、福建省工业和信息化厅、福州市人民政府、中国电子信息产业集团有限公司、奇安信集团承办,北京永信至诚科技股份有限公司技术支持。