为办好中国信息安全技能竞赛(ISG)技术挑战赛2015,确保此次赛事活动的公开、公平和公正进行,特制订此规则。
一、竞赛对象
全国范围内各界人士、在校学生、信息安全从业人员及安全爱好者可以用个人名义或自由组队参赛。
二、竞赛时间
报名时间:2015年9月22日-10月16日
比赛时间:2015年10月17日-10月18日
采用线上答题形式,线上答题系统开放时间为 9:00 – 24:00,系统开放2天共30小时。
三、题目类型
参赛个人或团队通过报名系统的资格审查后,在比赛时间段使用收到的帐号登陆竞赛平台进行线上答题,比赛形式参考CTF竞赛模式。
比赛题目包括但不限于以下五类:
1. Web漏洞与渗透(Web)
- 操作系统和网站应用服务器安全,
- 网站多种语言源代码阅读分析(特别是php和java),
- 数据库管理和SQL语句查询,
- Web漏洞挖掘和利用(SQL注入和XSS等),
- 各种服务器提权,
- 编写补丁并修复网站漏洞。
2. 软件逆向 (Reverse Engineering)
- Windows / Linux / Android 在 x86 / x86_64 / ARM平台多种编程语言的熟练掌握,
- 对源代码及二进制文件的分析和理解,
- 对多种反编译乃至反汇编逆向工具和脱壳,调试技巧的熟练掌握,
- Android移动应用APK文件的逆向分析,
- 掌握加解密,内核编程,算法,反调试和代码混淆技术。
3. 漏洞挖掘和利用 (Exploit)
- Windows / Linux 在 x86 / x86_64 平台的二进制程序漏洞挖掘
- 掌握C / C++ / Python / PHP / Java / Ruby / 汇编 等语言,
- 掌握缓冲区溢出和格式化字符串攻击,
- 编写shellcode进行利用。
4. 密码学原理及应用 (Crypto)
- 掌握古典密码学和现代密码学,
- 分析密码算法和协议,
- 计算密钥和进行加解密操作。
5. 其他杂项 (Misc)
- 信息搜集能力,
- 编程能力考察,
- 移动(Mobile)应用安全,
- 隐写术和信息隐藏,
- 计算机取证 (Forensics) 技术和文件恢复,
- 网络基础以及对网络流量的分析能力。
每一个分类4至10题不等。每一道题目视难易程度,分值从50分到500分不等。主办方会视比赛进度逐步开放各类题目。
参赛团队需要在线提交正确解题后获得的flag,来得到相应题目的分数。每道题目都对应唯一的flag,且限制最大提交次数。flag的形式为 ISG{可见字符串}。
四、评分方法
比赛时根据参赛个人和团队获得的分数从高到低进行排名。
如发生分数相同的情况,则按照解题总时长作为评判标准,原则上认可解题总时长短的排名靠前。
比赛结束后,排名前列个人和团队需要在24小时内向组委会提交相应的解题报告,通过审核后其比赛分数才最终有效。
解题报告内容主要包括:题目分析、解题思路与方法。
根据分数和解题报告综合排名,得出最终获奖名单。
五、竞赛奖项
1. 团队奖励
以团队参赛的队伍:
- 冠军将获得奖金3万元;
- 亚军将获得奖金2万元;
- 季军将获得奖金1万元;
- 第四名至第十名各获得奖金5000元
2. 个人奖励
以个人参赛的选手按题型分项排名,排名总分中:
- 第一名获得市级青年岗位能手、上海市信息安全行业协会专家证书,信息安全专业资格证书(ISCCC)、50万年薪岗位推荐;
- 前20名 获得上海市信息安全行业协会专家证书、信息安全专业资格证书(ISCCC)、30万年薪岗位推荐;
- 前 100 名获得ISG能力鉴定证书、优先推荐工作岗位;
- 得分超100,获得竞赛参与证书及工作推荐;
六、竞赛要求
禁止恶意扫描和攻击竞赛平台,破坏竞赛环境。
禁止对参赛团队选手和其他参与人员进行攻击。
禁止在比赛结束前传播并扩散竞赛题目和答案。
禁止参赛人员之间互相交流解题思路或答案。
以上情况如有发现,确认后立即取消涉及团队的比赛资格。如发现竞赛平台漏洞并上报组委会,确认后可获得额外奖励。
七、其他注意事项
在线竞赛平台登录方式将在正式比赛前以电子邮件形式发送给参赛人员和团队。
邮件内容中包含:竞赛平台登录地址、竞赛平台登录帐号和密码、竞赛交流专用QQ群和其他联系信息。
更多信息请关注竞赛官方网站:www.chinaisg.org 。
关注微信公共账号“信息安全竞赛”
ISG技术挑战赛交流QQ群:273520776
竞赛官方联系邮箱:ctf@e365.org
