freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“柏鹭杯”科普来一波,比赛前一定要知道的事!
2018-11-07 08:43:49

2018年“柏鹭杯”大学生网络空间安全精英赛即将开始,你了解多少呢?

你知道竞赛由厦门市美亚柏科信息股份有限公司主办,厦门安胜网络科技有限公司与厦门服云信息科技有限公司协办吗?你知道报名还在继续,精彩不容错过吗?你知道竞赛模式是什么吗?你知道有哪些创新模式吗?

那么在“柏鹭杯”正式开始前,让我们来科普一波吧!

CTF是什么?

CTF夺旗赛(Capture The Flag),是在网络安全技术人员之间进行竞技的一种比赛形式。

CTF源于1996年“DEFCON全球黑客大会”,以CTF替代原来黑客们发起“真实攻击”的技术比拼方式。2013年全球举办了超过五十场国际性CTF赛事,已经成为全球范围网络安全圈流行的竞赛形式。

作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,堪称CTF赛场中的“世界杯” 。

解读竞赛模式

01

解题模式 Jeopardy

技术与策略缺一不可

传统的Jeopardy解题模式只是CTF中的一种模式。参赛团队通过攻击比赛靶机、程序分析、密码破译等形式,获取比赛题目要求的内容,并提交至比赛答题系统中,从而夺得分数。

解题模式的流程十分简单,很容易让人误认为是单纯的实力比拼。

但实际上这是实力与策略并重检验的一种竞赛模式,这与其主流的“动态积分制”有关。

动态积分制是什么?

所有题目具有一样的标准分,实时分数在其基础上按一定权重变动,权重与答对题目队伍数量相关。答对队伍数越多,每个队伍从该题可获得的分值也随之降低。

换言之,难度越高的题目,对队伍能力得要求越高,解题所花费时间越多,可答对得队伍数越少,分值则相对较高。

所以通过该模式选拔出的经常是“术业有专攻”的精英队伍,或者是“分类方向,各个突破”的全能型队伍。

02

攻防模式 Attack With Defence

参赛队伍在比赛设置的网络空间中,同时扮演着攻击者与防守者的角色,互相进行攻击与防守。

攻方,通过挖掘网络服务漏洞,并攻击对手服务来得分;守方,通过修补自身服务漏洞或添加防御策略,从而进行防御以避免丢分。

传统的AWD攻防模式通常是以一个SSH对应一个堡垒机,参赛者通过SSH登录自己的服务器,进行审计漏洞,从而修补漏洞进行防守,或者通过漏洞攻击其他队伍得到分数。

但也会有人制造恶意违规行为,如:

“直接关闭网络连接,关闭网络访问”

“过度修改堡垒机,导致网站不可正常访问”

“直接攻击答题平台,获取题目信息或篡改分数”

 ……

目前这些问题可通过规则、健康检查等方式进行规避。

但是,真正难以解决的不是这些违规行为,而是一些“不违规,却严重影响竞赛体验”的情况,如通过使用一次性脚本等现成工具,封堵赛场环境设置的堡垒机漏洞,导致环境失衡。

在某种意义上,这是单方面提前吹响了“终止哨”的行为,其他人又何来竞技体验、竞技趣味呢?

鉴于此,此次“柏鹭杯”增加WAF防御,化解了这个尴尬问题。

9690F4FA-B252-4598-BD7D-C0792E03D989.png

“柏鹭杯”创新模式

“柏鹭杯”创新模式

Q1.创新模式在流程上有何不同?

menu.saveimg.savepath20181106222617.jpg

Q2:对于比赛本身有什么影响呢?

保障了比赛的持久性,加重了比赛的考验性,提升了比赛的趣味性。

持久性:赛场环境的所有漏洞永续存在,保证所有队伍的可被攻击性;

考验性:所有防守均需在漏洞审计后,编写对应防御策略(正则表达式),配置于防火墙生效,考验对漏洞和对防守规则的理解,而非仅仅的工具使用。

趣味性:平台对于防御策略设定了长度限制,不存在一条防御策略一劳永逸的情况,选手需要根据赛场情况,不断优化策略编写,增加竞赛博弈感。

  赛事彩蛋   

2018乌镇峰会明日开启1544.png

精彩的比赛即将开始,你们准备好了吗?


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者