返回
基于ctf的网络安全竞赛平台设计

基于ctf的网络安全竞赛平台设计

ID:23640708

大小:51.00 KB

页数:5页

时间:2018-11-09

基于ctf的网络安全竞赛平台设计_第1页
基于ctf的网络安全竞赛平台设计_第2页
基于ctf的网络安全竞赛平台设计_第3页
基于ctf的网络安全竞赛平台设计_第4页
基于ctf的网络安全竞赛平台设计_第5页
资源描述:

《基于ctf的网络安全竞赛平台设计》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于CTF的网络安全竞赛平台设计高见,刘晨,苏鹏冲(中国人民公安大学(团河校区)网络安全保卫学院,北京100076)摘要:网络攻防课题已经为越来越多的高校所重视,国内越来越多的CTF网络攻防竞赛也是愈演愈烈。文章提出将CTF的比赛模式应用于网络安全的教学过程,以提高学生在学习过程中的积极性,同时阐述竞赛平台总体结构、后台数据库关系以及主要题目类型的归纳设计。.jyqkail protected].。1C语言实验情况现状CTF(capturetheflag)即夺旗竞赛。在网络安全领域,经常以CTF的形式举

2、行比赛以展示自己的网络安全技能。1996年的DEFCON全球黑客大会首次使用夺旗竞赛的形式,代替之前黑客们互相真实攻击进行技术较量的方式。CTF发展至今,已经成为全球范围网络安全圈流行的竞赛形式。2013年,全球举办了超过50场国际性CTF赛事;而DEFCON作为CTF赛制的发源地,DEFCONCTF也成为目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。夺旗竞赛可以增加比赛的趣味性和竞争性,因此将其借鉴到各高校的C语言实验教学过程中,可以提高学生对课程的学习兴趣,使学生在游戏中学习,在竞

3、赛中提高。2竞赛模式种类2.1解题模式在解题模式(jeopardy)CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、ySQL的方式进行搭建,后台数据库表的关系如图2所示。其中,Student表中存放选手的基本信息,包括学号、姓名、年级、区队、登录密码和Salt;Chapter表中,存放题目类型的ID号和类型的名称;Examination表中存放每道题的唯一I

4、D号、题目对应的类型号(通过外键连接)、题干内容、题目所涉及的文件和题目对应的分数;Result表中存放选手答题的结果,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)、提交的答案和代码;Score表中存放选手答题的成绩,其中包括每道题的ID(通过外键连接)、选手的ID(通过外键连接)和题目对应的分数;AnsS08-064。为了增强题目的灵活性,教师可在增加系统漏洞的同时增加网络服务漏洞。IIS6.0漏洞多种多样,可以给答题者提供更多的答题思路。5.2银牌靶机银牌靶机难度较铜牌靶机更大,考查答题者

5、对网站整体入侵思路的掌握。在设计网站之初,银牌靶机为PHP代码编写的赌博网站。网站中可设计多处漏洞,如XSS漏洞、SQL漏洞、任意文件读取漏洞。答题者需要在渗透进入服务器并远程连接服务器后在某个文件夹内得到加密的RAR压缩包,通过暴力破解得到题目的FLAG。5.3金牌靶机金牌靶机的难度较大,为附加题目。金牌靶机系统为Linux系统,默认安装有Apache以及PHP环境,网站为PHP代码编写的诈骗网站。诈骗网站结构简单,仅有部分功能可以供答题者利用,其他页面均为静态页面。答题者需要在页面中寻找线索,才能够得到网站的

6、后台地址。通过工具穷举爆破,可以登录网站后台。网站后台仅有上传功能并且利用白名单进行过滤,答题者需要在绕过白名单后才能够利用后门继续渗透服务器。FLAG文本文件具有系统权限,因此答题者只有在对Linux系统提权的情况下,才能够得到FLAG完成此题。目的分值比如设为10分,当前5位学生得到正确答案后,该题目的分数自动降为9分,当有10位学生得到正确答案时,分值再自动减少,一直减少到6分(及格分)为止。这样可以激励学生在短时间内迅速思考,并将最先做完的学生的分数和最后做完的学生的分数进行区分。6结语随着国家大力发展网

7、络安全教育,相信一定会有越来越多的人投入学习网络安全的队伍中。在目前的发展趋势下,单一的课本技能已经不能解决日益复杂的网络安全问题,需要一个可以贴近实战的平台对学生所学的知识进行整理和实践。网络攻防竞赛平台的设计便是以此为初衷,它的设计在于提高学生对于网络安全的学习热情,通过比赛也能更好地选拔网络安全人才,对网络安全人才的培养非常有意义。网络攻防竞赛平台的设计参考了目前国内主流的CTF网络安全竞赛的规则设计,其中加入了一些公安业务需要的技能考核元素,对学生了解更多的网络安全知识起到很好的铺垫作用。.jyqk].北

8、京:北京理工大学出版社,2013:56-57.[2]黄龙军.游标在OnlineJudge中的应用[J].绍兴文理学院学报,2012,32(8):26-29.[3]丁琦,汪德宏,基于工作过程的高职课程教学模式探讨[J].职教论坛,2010(2):45-46.[4]王霞,顾勋梅,潘祝山,离散数学教学改革及课程建设研究[J].计算机教育,2011(6):8-10.(编辑:宋文婷

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。