一、賽項(xiàng)名稱

網(wǎng)絡(luò)安全

二、賽項(xiàng)編號(hào)

ZZ-2021029

三、競(jìng)賽目的

通過(guò)競(jìng)賽，檢驗(yàn)參賽選手對(duì)網(wǎng)絡(luò)、服務(wù)器系統(tǒng)等網(wǎng)絡(luò)空間中各個(gè)

信息系統(tǒng)的安全防護(hù)能力，以及分析、處理現(xiàn)場(chǎng)問(wèn)題的能力。通過(guò)本

賽項(xiàng)的訓(xùn)練和比賽，培養(yǎng)更多學(xué)生掌握網(wǎng)絡(luò)安全知識(shí)與技能，發(fā)展成

為國(guó)家信息安全領(lǐng)域的技術(shù)技能人才。引導(dǎo)中等職業(yè)學(xué)校關(guān)注網(wǎng)絡(luò)安

全技術(shù)發(fā)展趨勢(shì)和產(chǎn)業(yè)應(yīng)用方向，促進(jìn)網(wǎng)絡(luò)信息安全專業(yè)建設(shè)與教學(xué)

改革。賽項(xiàng)緊密結(jié)合新一代信息產(chǎn)業(yè)發(fā)展對(duì)網(wǎng)絡(luò)安全應(yīng)用型人才的需

求，促進(jìn)產(chǎn)教互動(dòng)、校企融合，增強(qiáng)中職學(xué)校學(xué)生的新技術(shù)學(xué)習(xí)能力

和就業(yè)競(jìng)爭(zhēng)力，助力新一代信息技術(shù)產(chǎn)業(yè)快速發(fā)展。

四、競(jìng)賽內(nèi)容

重點(diǎn)考核參賽選手網(wǎng)絡(luò)系統(tǒng)安全策略部署、信息保護(hù)、網(wǎng)絡(luò)安全

運(yùn)維管理的綜合實(shí)踐能力，具體包括：

1.參賽選手能夠在賽項(xiàng)提供的服務(wù)器上配置各種協(xié)議和服務(wù)，實(shí)

現(xiàn)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行，并根據(jù)網(wǎng)絡(luò)業(yè)務(wù)需求配置各種安全策略，以滿足

應(yīng)用需求。

2.參賽選手能夠根據(jù)大賽提供的賽項(xiàng)要求，實(shí)施網(wǎng)絡(luò)空間安全防

護(hù)操作。

3.參賽選手能夠根據(jù)網(wǎng)絡(luò)實(shí)際運(yùn)行中面臨的安全威脅，確定安全

策略并部署實(shí)施，防范并制止網(wǎng)絡(luò)惡意入侵和攻擊行為。

4.參賽選手通過(guò)分組混合對(duì)抗的形式，能夠?qū)崟r(shí)防護(hù)自己服務(wù)

1/19

器，抵御外界的攻擊，同時(shí)能夠?qū)δ繕?biāo)進(jìn)行滲透和攻擊。

5.競(jìng)賽總時(shí)長(zhǎng)為3個(gè)小時(shí)，各競(jìng)賽階段安排如下：

序號(hào)內(nèi)容模塊具體內(nèi)容說(shuō)明

密碼學(xué)、IPSecVPN、IKE：PreSharedKey

密碼學(xué)和VPN（預(yù)共享密鑰認(rèn)證）、IKE：PKI（公鑰架構(gòu)

認(rèn)證）、SSLVPN等。

操作系統(tǒng)滲透測(cè)Windows操作系統(tǒng)滲透測(cè)試及加固、Linux

試及加固操作系統(tǒng)滲透測(cè)試及加固等。

SQLInjection（SQL注入）漏洞滲透測(cè)試及

加固、CommandInjection（命令注入）漏

洞滲透測(cè)試及加固、FileUpload（文件上傳）

漏洞滲透測(cè)試及加固、Directory

單兵模式Web應(yīng)用滲透

Traversing（目錄穿越）漏洞滲透測(cè)試及加

第一階段系統(tǒng)滲透測(cè)試及加固

固、XSS（CrossSiteScript）漏洞滲透測(cè)

測(cè)試

試及加固、CSRF（CrossSiteRequest

Forgeries）漏洞滲透測(cè)試及加固、Session

Hijacking（會(huì)話劫持）漏洞滲透測(cè)試及加固

網(wǎng)絡(luò)安全數(shù)據(jù)分能夠利用日志收集和分析工具對(duì)網(wǎng)絡(luò)流量收

析集監(jiān)控，維護(hù)網(wǎng)絡(luò)安全。

能夠利用如Nmap、Nessus、metasploit等

常用滲透掃描工

常用滲透掃描工具進(jìn)行信息收集及系統(tǒng)滲

具使用與腳本語(yǔ)

透；

言應(yīng)用

熟悉shell，Python等腳本語(yǔ)言的應(yīng)用。

第二階段攻防對(duì)抗參賽隊(duì)之間進(jìn)行Windows/Linux操作系統(tǒng)安全攻防、Web應(yīng)

2/19

對(duì)抗演練用/數(shù)據(jù)庫(kù)安全攻防等。

7.競(jìng)賽分值權(quán)重和時(shí)間安排

序號(hào)內(nèi)容模塊分值權(quán)重階段時(shí)間

第一階段單兵模式系統(tǒng)滲透測(cè)試70%100分鐘

備戰(zhàn)階段攻防對(duì)抗準(zhǔn)備工作0%20分鐘

第二階段攻防對(duì)抗30%60分鐘

五、競(jìng)賽方式

1.本賽項(xiàng)為團(tuán)體賽，以院校為單位組隊(duì)參賽，不得跨校組隊(duì)。

2.每校限報(bào)一隊(duì)。

3.每個(gè)參賽隊(duì)由2名選手組成，每個(gè)參賽隊(duì)限報(bào)2名指導(dǎo)教師。

3/19

六、競(jìng)賽流程

（一）競(jìng)賽流程圖

（二）競(jìng)賽時(shí)間表

比賽限定在1天內(nèi)進(jìn)行，比賽場(chǎng)次為1場(chǎng)，賽項(xiàng)競(jìng)賽時(shí)間為3小

時(shí)，具體日程安排以賽項(xiàng)說(shuō)明會(huì)以賽項(xiàng)指南為準(zhǔn)。

七、競(jìng)賽試題

（一）賽項(xiàng)執(zhí)委會(huì)專家組下設(shè)的命題組負(fù)責(zé)本賽項(xiàng)命題工作。

（二）樣題見(jiàn)附件。

4/19

八、競(jìng)賽規(guī)則

（一）報(bào)名資格

參賽選手須為2021年度在籍全日制中等職業(yè)學(xué)校學(xué)生；五年制

全日制高職一至三年級(jí)（含三年級(jí)）在籍學(xué)生可參加競(jìng)賽。參賽選手

不限性別，年齡須不超過(guò)21周歲，年齡計(jì)算的截止時(shí)間以2021年5

月1日為準(zhǔn)。

（二）競(jìng)賽工位通過(guò)抽簽決定，競(jìng)賽期間參賽選手不得離開(kāi)競(jìng)賽

工位。

（三）競(jìng)賽所需的硬件設(shè)備、系統(tǒng)軟件和輔助工具由組委會(huì)統(tǒng)一

安排，參賽選手不得自帶硬件設(shè)備、軟件、移動(dòng)存儲(chǔ)、輔助工具、移

動(dòng)通信等進(jìn)入競(jìng)賽現(xiàn)場(chǎng)。

（四）參賽選手自行決定工作程序和時(shí)間安排。

（五）參賽選手在賽前10分鐘進(jìn)入競(jìng)賽工位并領(lǐng)取競(jìng)賽任務(wù)，

競(jìng)賽正式開(kāi)始后方可展開(kāi)相關(guān)工作。

（六）競(jìng)賽過(guò)程中，選手須嚴(yán)格遵守操作規(guī)程，確保人身及設(shè)備

安全，并接受裁判員的監(jiān)督和警示。若因選手因素造成設(shè)備故障或損

壞，無(wú)法繼續(xù)競(jìng)賽，裁判長(zhǎng)有權(quán)決定終止該隊(duì)競(jìng)賽；若因非參賽選手

個(gè)人因素造成設(shè)備故障，由裁判長(zhǎng)視具體情況做出裁決。

（七）競(jìng)賽結(jié)束（或提前完成）后，參賽選手要確認(rèn)已成功提

交所有競(jìng)賽文檔，裁判員與參賽選手一起簽字確認(rèn)，參賽選手在確認(rèn)

后不得再進(jìn)行任何操作。

九、競(jìng)賽環(huán)境

1.競(jìng)賽場(chǎng)地。競(jìng)賽現(xiàn)場(chǎng)設(shè)置競(jìng)賽區(qū)、裁判區(qū)、服務(wù)區(qū)、技術(shù)支持

區(qū)?，F(xiàn)場(chǎng)保證良好的采光、照明和通風(fēng)；提供穩(wěn)定的水、電和供電應(yīng)

5/19

急設(shè)備。同時(shí)提供所有指導(dǎo)教師休息室1間。

2.競(jìng)賽設(shè)備。競(jìng)賽設(shè)備由執(zhí)委會(huì)和承辦校負(fù)責(zé)提供和保障，競(jìng)賽

區(qū)按照參賽隊(duì)數(shù)量準(zhǔn)備比賽所需的軟硬件平臺(tái)，為參賽隊(duì)提供標(biāo)準(zhǔn)競(jìng)

賽設(shè)備。

3.競(jìng)賽工位。競(jìng)賽現(xiàn)場(chǎng)各個(gè)工作區(qū)配備單相220V/3A以上交流電

源。每個(gè)比賽工位上標(biāo)明編號(hào)。每個(gè)比賽間配有工作臺(tái)，用于擺放計(jì)

算機(jī)和其它調(diào)試設(shè)備工具等。配備2把工作椅（凳）。

4.技術(shù)支持區(qū)為參賽選手比賽提供網(wǎng)絡(luò)環(huán)境部署和網(wǎng)絡(luò)安全防

范。

5.服務(wù)區(qū)提供醫(yī)療等服務(wù)保障。

6.競(jìng)賽工位隔離和抗干擾。競(jìng)賽工位之間標(biāo)有隔離線，每個(gè)相鄰

競(jìng)賽賽位隔離線之間間隔不低于1.5米。

十、技術(shù)規(guī)范

該賽項(xiàng)涉及的信息網(wǎng)絡(luò)安全工程在設(shè)計(jì)、組建過(guò)程中，主要有以

下7項(xiàng)國(guó)家標(biāo)準(zhǔn)，參賽選手在實(shí)施競(jìng)賽項(xiàng)目中要求遵循如下規(guī)范：

序號(hào)標(biāo)準(zhǔn)號(hào)中文標(biāo)準(zhǔn)名稱

1GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

2GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》

3GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

4GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》

5GB/T20273-2006《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》

6GA/T671-2006《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》

7GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》

十一、技術(shù)平臺(tái)

（一）比賽器材

序號(hào)設(shè)備名稱數(shù)量設(shè)備型號(hào)

1網(wǎng)絡(luò)空間安全1中科軟磐云PY-B7

6/19

技能評(píng)測(cè)平臺(tái)磐云PY-B7為1U設(shè)備，2個(gè)千兆以太口，

Intel至強(qiáng)處理器，16G內(nèi)存，120GSSD+1T

SATA硬盤。支持多用戶并發(fā)在線比賽，根

據(jù)不同的實(shí)戰(zhàn)任務(wù)下發(fā)進(jìn)行自動(dòng)調(diào)度靶

機(jī)虛擬化模板功能,為學(xué)員提供單兵闖

關(guān)、分組混戰(zhàn)和奪旗競(jìng)速等實(shí)際對(duì)戰(zhàn)模

式，能夠提供29種不同級(jí)別的攻防場(chǎng)景。

CPU主頻>=3.5GHZ,>=四核心八線程；內(nèi)

2PC機(jī)2存>=8G；硬盤>=1T；支持硬件虛擬化；具

有串口或者提供USB轉(zhuǎn)串口配置線纜

（二）軟件技術(shù)平臺(tái)：

比賽的應(yīng)用系統(tǒng)環(huán)境主要以Windows和Linux系統(tǒng)為主，涉及

如下版本：

1）物理機(jī)安裝操作系統(tǒng)：Windows7。

2）虛擬機(jī)安裝操作系統(tǒng)：

Windows系統(tǒng)：WindowsXP、Windows7、Windows2003

Server、Windows2008Server（根據(jù)命題確定）。

Linux系統(tǒng)：Ubuntu、Debian、CentOS（根據(jù)命題確定）。

3）比賽提供Putty作為終端。

十二、成績(jī)?cè)u(píng)定

（一）裁判工作原則

按照《2018年全國(guó)職業(yè)院校技能大賽專家和裁判工作管理辦法》

建立全國(guó)職業(yè)院校技能大賽賽項(xiàng)裁判庫(kù)，裁判長(zhǎng)由賽項(xiàng)執(zhí)委會(huì)向大賽

執(zhí)委會(huì)推薦，由大賽執(zhí)委會(huì)聘任。賽前建立健全裁判組。裁判組為裁

7/19

判長(zhǎng)負(fù)責(zé)制，并設(shè)有專職督導(dǎo)人員1-2名，負(fù)責(zé)比賽過(guò)程全程監(jiān)督，

防止?fàn)I私舞弊。

因?yàn)楸举愴?xiàng)全部分?jǐn)?shù)由計(jì)算機(jī)自動(dòng)評(píng)分，因此只需進(jìn)行兩次加密，

加密后參賽選手中途不得擅自離開(kāi)賽場(chǎng)。分別由2組加密裁判組織實(shí)

施加密工作，管理加密結(jié)果。監(jiān)督員全程監(jiān)督加密過(guò)程。

第一組加密裁判，組織參賽選手進(jìn)行第一次抽簽，產(chǎn)生參賽編號(hào)，

替換選手參賽證等個(gè)人身份信息，填寫一次加密記錄表連同選手參賽

證等個(gè)人身份信息證件，裝入一次加密結(jié)果密封袋中單獨(dú)保管。

第二組加密裁判，組織參賽選手進(jìn)行第二次抽簽，確定賽位號(hào)，

替換選手參賽編號(hào)，填寫二次加密記錄表連同選手參賽編號(hào)，裝入二

次加密結(jié)果密封袋中單獨(dú)保管。

所有加密結(jié)果密封袋的封條均需相應(yīng)加密裁判和監(jiān)督人員簽字。

密封袋在監(jiān)督人員監(jiān)督下由加密裁判放置于保密室的保險(xiǎn)柜中保存。

（二）成績(jī)產(chǎn)生辦法

計(jì)算機(jī)自動(dòng)評(píng)分，由裁判長(zhǎng)負(fù)責(zé)將競(jìng)賽兩個(gè)階段的分?jǐn)?shù)匯總，產(chǎn)

生每賽位號(hào)的對(duì)應(yīng)成績(jī)。

競(jìng)賽評(píng)分嚴(yán)格按照公平、公正、公開(kāi)的原則，評(píng)分標(biāo)準(zhǔn)注重考查

參賽選手以下各方面的能力和水平：

任務(wù)階

競(jìng)賽階段階段名稱競(jìng)賽任務(wù)分值評(píng)分方式

段

根據(jù)賽題確定內(nèi)

任務(wù)120機(jī)考評(píng)分

容

第一階段單兵模式系根據(jù)賽題確定內(nèi)

任務(wù)220機(jī)考評(píng)分

權(quán)重70%統(tǒng)滲透測(cè)試容

根據(jù)賽題確定內(nèi)

任務(wù)330機(jī)考評(píng)分

容

8/19

第二階段

分組對(duì)抗系統(tǒng)攻防30機(jī)考評(píng)分

權(quán)重30%

參賽選手應(yīng)體現(xiàn)團(tuán)隊(duì)風(fēng)貌、團(tuán)隊(duì)協(xié)作與溝通、組織與管理能力和

工作計(jì)劃能力等，并注意相關(guān)文檔的準(zhǔn)確性與規(guī)范性。

競(jìng)賽過(guò)程中，參賽選手如有不服從裁判判決、擾亂賽場(chǎng)秩序、舞

弊等不文明行為，由裁判組按照規(guī)定扣減相應(yīng)分?jǐn)?shù)，情節(jié)嚴(yán)重的取消

競(jìng)賽資格。

十三、獎(jiǎng)項(xiàng)設(shè)定

本賽項(xiàng)為個(gè)人賽，依照實(shí)際參賽選手?jǐn)?shù)量確定獎(jiǎng)項(xiàng)：一等獎(jiǎng)?wù)紖?/p>

賽選手總數(shù)的10%，二等獎(jiǎng)?wù)紖①愡x手總數(shù)的20%，三等獎(jiǎng)?wù)紖①?/p>

選手總數(shù)的30%。

十四、競(jìng)賽須知

（一）參賽選手須知

1.各參賽選手要發(fā)揚(yáng)良好道德風(fēng)尚，聽(tīng)從指揮，服從裁判，不

弄虛作假。如發(fā)現(xiàn)弄虛作假者，取消參賽資格，名次無(wú)效。

2．參賽選手應(yīng)按有關(guān)要求如實(shí)填報(bào)個(gè)人信息，否則取消競(jìng)賽資

格。

3．參賽選手應(yīng)按照規(guī)定時(shí)間抵達(dá)賽場(chǎng)，憑統(tǒng)一印制的參賽證、

有效身份證件檢錄，按要求入場(chǎng)，不得遲到早退。請(qǐng)勿攜帶任何電子

設(shè)備及其他資料、用品進(jìn)入賽場(chǎng)。

4．參加選手應(yīng)認(rèn)真學(xué)習(xí)領(lǐng)會(huì)本次競(jìng)賽相關(guān)文件，自覺(jué)遵守大賽

紀(jì)律，服從指揮，聽(tīng)從安排，文明參賽。

5．參賽選手應(yīng)增強(qiáng)角色意識(shí)，科學(xué)合理做好時(shí)間分配。

6.參賽選手應(yīng)按有關(guān)要求在指定位置就坐。

7.參賽選手須在確認(rèn)競(jìng)賽內(nèi)容和現(xiàn)場(chǎng)設(shè)備等無(wú)誤后開(kāi)始競(jìng)賽。在

9/19

競(jìng)賽過(guò)程中，確因計(jì)算機(jī)軟件或硬件故障，致使操作無(wú)法繼續(xù)的，經(jīng)

項(xiàng)目裁判長(zhǎng)確認(rèn)，予以啟用備用計(jì)算機(jī)。

8.各參賽選手必須按規(guī)范要求操作競(jìng)賽設(shè)備。一旦出現(xiàn)較嚴(yán)重

的安全事故，經(jīng)總裁判長(zhǎng)批準(zhǔn)后將立即取消其參賽資格。

9.參賽選手需詳細(xì)閱讀賽題中競(jìng)賽文檔命名的要求，不得在提交

的競(jìng)賽文檔中標(biāo)識(shí)出任何關(guān)于參賽選手地名、校名、姓名、參賽編號(hào)

等信息，否則取消競(jìng)賽成績(jī)。

10.競(jìng)賽時(shí)間終了，選手應(yīng)全體起立，結(jié)束操作，將資料和工具

整齊擺放在操作平臺(tái)上，經(jīng)工作人員清點(diǎn)后可離開(kāi)賽場(chǎng)。離開(kāi)賽場(chǎng)時(shí)

不得帶走任何資料。

11.在競(jìng)賽期間，未經(jīng)執(zhí)委會(huì)批準(zhǔn)，參賽選手不得接受其他單位

和個(gè)人進(jìn)行的與競(jìng)賽內(nèi)容相關(guān)的采訪。參賽選手不得將競(jìng)賽的相關(guān)信

息私自公布。

12.參賽選手若對(duì)競(jìng)賽過(guò)程有異議，在規(guī)定的時(shí)間內(nèi)經(jīng)由領(lǐng)隊(duì)向

賽項(xiàng)仲裁工作組提出書(shū)面報(bào)告。

（二）指導(dǎo)教師須知

1.各參賽代表隊(duì)要發(fā)揚(yáng)良好道德風(fēng)尚，聽(tīng)從指揮，服從裁判，不

弄虛作假。如發(fā)現(xiàn)弄虛作假者，取消參賽資格，名次無(wú)效。

2.各代表隊(duì)領(lǐng)隊(duì)要堅(jiān)決執(zhí)行競(jìng)賽的各項(xiàng)規(guī)定，加強(qiáng)對(duì)參賽人員的

管理，做好賽前準(zhǔn)備工作，督促選手帶好證件等競(jìng)賽相關(guān)材料。

3.競(jìng)賽過(guò)程中，除參加當(dāng)場(chǎng)次競(jìng)賽的選手、執(zhí)行裁判員、現(xiàn)場(chǎng)工

作人員和經(jīng)批準(zhǔn)的人員外，領(lǐng)隊(duì)、指導(dǎo)教師及其他人員一律不得進(jìn)入

競(jìng)賽現(xiàn)場(chǎng)。

4.參賽代表隊(duì)若對(duì)競(jìng)賽過(guò)程有異議，在規(guī)定的時(shí)間內(nèi)由領(lǐng)隊(duì)向賽

10/19

項(xiàng)仲裁工作組提出書(shū)面報(bào)告。

5.對(duì)申訴的仲裁結(jié)果，領(lǐng)隊(duì)要帶頭服從和執(zhí)行，并做好選手工作。

參賽選手不得因申訴或?qū)μ幚硪庖?jiàn)不服而停止競(jìng)賽，否則以棄權(quán)處理。

6.指導(dǎo)老師應(yīng)及時(shí)查看大賽專用網(wǎng)頁(yè)有關(guān)賽項(xiàng)的通知和內(nèi)容，認(rèn)

真研究和掌握本賽項(xiàng)競(jìng)賽的規(guī)程、技術(shù)規(guī)范和賽場(chǎng)要求，指導(dǎo)選手做

好賽前的一切技術(shù)準(zhǔn)備和競(jìng)賽準(zhǔn)備。

7.參賽選手領(lǐng)隊(duì)?wèi)?yīng)對(duì)本隊(duì)參賽選手和指導(dǎo)教師的參賽期間安全

負(fù)責(zé)，參賽學(xué)校須為參賽選手和指導(dǎo)教師購(gòu)買意外保險(xiǎn)。

8.領(lǐng)隊(duì)和指導(dǎo)教師應(yīng)在賽后做好賽事總結(jié)和工作總結(jié)。

（三）工作人員須知

1.樹(shù)立服務(wù)觀念，一切為選手著想，以高度負(fù)責(zé)的精神、嚴(yán)肅

認(rèn)真的態(tài)度和嚴(yán)謹(jǐn)細(xì)致的作風(fēng)，在賽項(xiàng)執(zhí)委會(huì)的領(lǐng)導(dǎo)下，按照各自職

責(zé)分工和要求認(rèn)真做好崗位工作。

2.所有工作人員必須佩帶證件，忠于職守，秉公辦理，保守秘

密。

3.注意文明禮貌，保持良好形象，熟悉賽項(xiàng)指南。

4.自覺(jué)遵守賽項(xiàng)紀(jì)律和規(guī)則，服從調(diào)配和分工，確保競(jìng)賽工作

的順利進(jìn)行。

5.提前30分鐘到達(dá)賽場(chǎng)，嚴(yán)守工作崗位，不遲到，不早退，不

得無(wú)故離崗，特殊情況需向工作組組長(zhǎng)請(qǐng)假。

6.熟悉競(jìng)賽規(guī)程，嚴(yán)格按照工作程序和有關(guān)規(guī)定辦事，遇突發(fā)

事件，按照應(yīng)急預(yù)案，組織指揮人員疏散，確保人員安全。

7.工作人員在競(jìng)賽中若有舞弊行為，立即撤銷其工作資格，并

嚴(yán)肅處理。

11/19

8.保持通訊暢通，服從統(tǒng)一領(lǐng)導(dǎo)，嚴(yán)格遵守競(jìng)賽紀(jì)律，加強(qiáng)協(xié)

作配合，提高工作效率。

附件：樣題

“網(wǎng)絡(luò)空間安全”項(xiàng)目競(jìng)賽任務(wù)書(shū)（樣題）

一、賽項(xiàng)時(shí)間

9:00-12:00，共計(jì)3小時(shí)。

二、賽項(xiàng)信息

競(jìng)賽階段任務(wù)階段競(jìng)賽任務(wù)競(jìng)賽時(shí)間分值

第一階段任務(wù)1SQL注入攻防25

單兵模式系統(tǒng)滲任務(wù)2XSS和CSRF攻防09:00-11:0025

透測(cè)試任務(wù)3命令注入與文件包含攻防20

第二階段

系統(tǒng)攻防11:00-12:0030

分組對(duì)抗

（一）賽項(xiàng)環(huán)境設(shè)置

1.網(wǎng)絡(luò)拓?fù)鋱D

12/19

2.IP地址規(guī)劃表

設(shè)備名稱接口IP地址互聯(lián)可用IP數(shù)量

PC-1：實(shí)戰(zhàn)平見(jiàn)賽場(chǎng)IP參數(shù)表

EthXx.x.x.x/x與實(shí)戰(zhàn)平臺(tái)管理網(wǎng)絡(luò)相連

臺(tái)管理機(jī)

PC-2：滲透測(cè)見(jiàn)賽場(chǎng)IP參數(shù)表

EthYx.x.x.x/x與滲透測(cè)試網(wǎng)絡(luò)相連

試機(jī)

服務(wù)器場(chǎng)景無(wú)詳見(jiàn)賽題部分見(jiàn)賽場(chǎng)IP參數(shù)表

1.賽題可用IP地址范圍見(jiàn)《賽場(chǎng)IP參數(shù)表》；

2.具體網(wǎng)絡(luò)連接接口見(jiàn)《賽場(chǎng)IP參數(shù)表》-“賽場(chǎng)互聯(lián)接口參數(shù)表”；

3.設(shè)備互聯(lián)網(wǎng)段內(nèi)可用地址數(shù)量見(jiàn)《賽場(chǎng)IP參數(shù)表》；

4.IP地址分配要求，最節(jié)省IP地址，子網(wǎng)有效地址規(guī)劃遵循2n-2的原則；

備注

5.參賽選手按照《賽場(chǎng)IP參數(shù)表》要求，自行分配IP地址段、設(shè)備互聯(lián)

接口；

6.將分配的IP地址段和接口填入《賽場(chǎng)IP參數(shù)表》中（《賽場(chǎng)IP參數(shù)表》

電子文件存于U盤“第一階段”文件夾中，請(qǐng)?zhí)顚懲暾筇峤?。?/p>

13/19

（二）第一階段任務(wù)書(shū)（70分）

任務(wù)1：SQL注入攻防

任務(wù)環(huán)境說(shuō)明：

服務(wù)器場(chǎng)景：WebServ2003

服務(wù)器場(chǎng)景操作系統(tǒng)：MicrosoftWindows2003Server

服務(wù)器場(chǎng)景安裝服務(wù)/工具1：Apache2.2；

服務(wù)器場(chǎng)景安裝服務(wù)/工具2：Php6；

服務(wù)器場(chǎng)景安裝服務(wù)/工具3：MicrosoftSqlServer2000；

服務(wù)器場(chǎng)景安裝服務(wù)/工具4：EditPlus；

1.訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，進(jìn)入login.php頁(yè)面，分析該頁(yè)面源程序，

找到提交的變量名，并將該變量名作為Flag提交；

2.對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行SQL注入滲透測(cè)試，使該Web站點(diǎn)可通過(guò)

任意用戶名登錄，并將登錄密碼作為Flag提交；

3.進(jìn)入WebServ2003服務(wù)器場(chǎng)景的C:\AppServ\www目錄，找到

loginAuth.php程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御

SQL注入，并將修改后的PHP源程序中的Flag提交；

4.再次對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，驗(yàn)證此次利用該注入點(diǎn)對(duì)

WebServ2003服務(wù)器場(chǎng)景進(jìn)行SQL注入滲透測(cè)試無(wú)效，并將Web頁(yè)面回顯內(nèi)容作為

Flag提交；

5.訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，"/"->"EmployeeInformationQuery"，

分析該頁(yè)面源程序，找到提交的變量名，并將該變量名作為Flag提交；

6.對(duì)該任務(wù)題目5頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，根據(jù)輸入“%”以及“_”的返

回結(jié)果確定是注入點(diǎn)，Web頁(yè)面回顯作為Flag提交；

7.通過(guò)對(duì)該任務(wù)題目5頁(yè)面注入點(diǎn)進(jìn)行SQL注入滲透測(cè)試，刪除

WebServ2003服務(wù)器場(chǎng)景的C:\目錄下的1.txt文檔，并將注入代碼作為Flag提交；

8.進(jìn)入WebServ2003服務(wù)器場(chǎng)景的C:\AppServ\www目錄，找到

QueryCtrl.php程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御

14/19

SQL注入滲透測(cè)試，并將修改后的PHP源程序中的Flag提交；

9.再次對(duì)該任務(wù)題目5頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，驗(yàn)證此次利用注入點(diǎn)對(duì)該

WebServ2003服務(wù)器場(chǎng)景進(jìn)行SQL注入滲透測(cè)試無(wú)效，并將Web頁(yè)面回顯內(nèi)容作為

Flag提交。

任務(wù)2：XSS和CSRF攻防

任務(wù)環(huán)境說(shuō)明：

服務(wù)器場(chǎng)景：WebServ2003

服務(wù)器場(chǎng)景操作系統(tǒng)：MicrosoftWindows2003Server

服務(wù)器場(chǎng)景安裝服務(wù)/工具1：Apache2.2；

服務(wù)器場(chǎng)景安裝服務(wù)/工具2：Php6；

服務(wù)器場(chǎng)景安裝服務(wù)/工具3：MicrosoftSqlServer2000；

服務(wù)器場(chǎng)景安裝服務(wù)/工具4：EditPlus；

1.訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，"/"->"EmployeeMessageBoard"，分析

該頁(yè)面源程序，找到提交的變量名，并將該變量名作為Flag提交；

2.對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行XSS滲透測(cè)試，并進(jìn)入"/"->"Employee

MessageBoard"->"DisplayMessage"頁(yè)面，根據(jù)該頁(yè)面的顯示，確定是注入點(diǎn)，

并將Web頁(yè)面回顯內(nèi)容作為Flag提交；

3.對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，使"/"->"EmployeeMessage

Board"->"DisplayMessage"頁(yè)面的訪問(wèn)者執(zhí)行網(wǎng)站（/）中的

木馬程序：/TrojanHorse.exe，并將注入代碼內(nèi)容作為Flag

提交；

4.通過(guò)IIS搭建網(wǎng)站（/），并通過(guò)PC2生成木馬程序

TrojanHorse.exe，將該程序復(fù)制到網(wǎng)站（/）的WWW根目錄下，

并將該網(wǎng)站標(biāo)題作為Flag提交；

5.當(dāng)"/"->"EmployeeMessageBoard"->"DisplayMessage"頁(yè)面的訪問(wèn)者

執(zhí)行網(wǎng)站（/）中的木馬程序TrojanHorse.exe以后，訪問(wèn)者主

機(jī)需要被PC-3遠(yuǎn)程控制，打開(kāi)訪問(wèn)者主機(jī)的CMD.exe命令行窗口，并將該操作結(jié)

果回顯作為Flag提交；

15/19

6.進(jìn)入WebServ2003服務(wù)器場(chǎng)景的C:\AppServ\www目錄，找到insert.php

程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御XSS滲透測(cè)試，

并將修改后的PHP源程序中的Flag提交；

7.再次對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，驗(yàn)證此次利用該注入點(diǎn)對(duì)

WebServ2003服務(wù)器場(chǎng)景進(jìn)行XSS滲透測(cè)試無(wú)效，并將Web頁(yè)面回顯作為Flag提

交；

8.訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，"/"->"ShoppingHall"，分析該頁(yè)面源

程序，找到提交的變量名，并將該變量名作為Flag提交；

9.對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，使"/"->"EmployeeMessage

Board"->"DisplayMessage"頁(yè)面的訪問(wèn)者向頁(yè)面ShoppingProcess.php提交參數(shù)

goods=cpu&quantity=999999，查看"/"->"PurchasedGoods.php頁(yè)面，并將注入代

碼作為Flag提交；

10.進(jìn)入WebServ2003服務(wù)器場(chǎng)景的C:\AppServ\www目錄，找到

DisplayMessage.php程序，使用EditPlus工具分析并修改PHP源程序，使之可以

抵御CSRF滲透測(cè)試，并將修改后的源程序中的Flag提交；

11.再次對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，驗(yàn)證此次利用該注入點(diǎn)對(duì)

WebServ2003服務(wù)器場(chǎng)景進(jìn)行CSRF滲透測(cè)試無(wú)效，并將Web頁(yè)面回顯內(nèi)容作為Flag

提交；

任務(wù)3：命令注入與文件包含攻防

任務(wù)環(huán)境說(shuō)明：

服務(wù)器場(chǎng)景：WebServ2003

服務(wù)器場(chǎng)景操作系統(tǒng)：MicrosoftWindows2003Server

服務(wù)器場(chǎng)景安裝服務(wù)/工具1：Apache2.2；

服務(wù)器場(chǎng)景安裝服務(wù)/工具2：Php6；

服務(wù)器場(chǎng)景安裝服務(wù)/工具3：MicrosoftSqlServer2000；

服務(wù)器場(chǎng)景安裝服務(wù)/工具4：EditPlus；

1.Web訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，"/"->"DisplayDirectory"，分析

該頁(yè)面源程序，找到提交的變量名，并將該變量名作為Flag提交；

16/19

2.對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，使頁(yè)面

DisplayDirectoryCtrl.php回顯C:\Windows目錄內(nèi)容的同時(shí)，對(duì)WebServ2003服

務(wù)器場(chǎng)景添加賬號(hào)“Hacker”，將該賬號(hào)加入管理員組，并將注入代碼作為Flag

提交；

3.進(jìn)入WebServ2003服務(wù)器場(chǎng)景的C:\AppServ\www目錄，找到

DisplayDirectoryCtrl.php程序，使用EditPlus工具分析并修改PHP源程序，使

之可以抵御命令注入滲透測(cè)試，并將修改后的源程序中的Flag提交；

4.再次對(duì)該任務(wù)題目1頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，驗(yàn)證此次利用注入點(diǎn)對(duì)

WebServ2003服務(wù)器場(chǎng)景進(jìn)行命令注入滲透測(cè)試無(wú)效，并將Web頁(yè)面回顯作為Flag

提交；

5.Web訪問(wèn)WebServ2003服務(wù)器場(chǎng)景，"/"->"DisplayUploaded'sFile

Content"，分析該頁(yè)面源程序，找到提交的變量名，并將該變量名作為Flag提交；

6.對(duì)該任務(wù)題目5頁(yè)面注入點(diǎn)進(jìn)行滲透測(cè)試，使頁(yè)面DisplayFileCtrl.php

回顯WebServ2003服務(wù)器場(chǎng)景訪問(wèn)日志文件：

AppServ/Apache2.2/logs/access.log的內(nèi)容，并將注入代碼作為Flag提交；