“网络空间安全”项目竞赛任务书(样题)
一、赛项时间
每场3小时。 二、赛项信息
竞赛阶段 第一阶段 任务1 平台搭建与配置 120分钟 第二阶段 单兵模式系统渗透测试 第三阶段 分组对抗 三、赛项内容
(一)赛项环境设置 1.网络拓扑图
任务2 系统加固 渗透测试 XSS和CSRF攻防 15分钟 30 45分钟 30 任务1 SQL注入攻防 30 攻防环境部署 10 任务阶段 竞赛任务 竞赛时间 分值
1 / 7
2.IP地址规划表 设备名称 接口 Vlan10 三层交换机 Vlan20 PC-1:实战平EthX 台管理机 PC-2:渗透测EthY 试机 服务器场景 无 详见赛题部分 见赛场IP参数表 x.x.x.x/x 与交换机相连 见赛场IP参数表 x.x.x.x/x 与交换机相连 x.x.x.x/x 与PC2相连 IP地址 x.x.x.x/x 互联 与PC1相连 可用IP数量 见赛场IP参数表 见赛场IP参数表 见赛场IP参数表 1.赛题可用IP地址范围见《赛场IP参数表》; 2.具体网络连接接口见《赛场IP参数表》-“赛场互联接口参数表”; 3.设备互联网段内可用地址数量见《赛场IP参数表》; 4.IP地址分配要求,最节省IP地址,子网有效地址规划遵循2n-2的原则; 备注 5.参赛选手按照《赛场IP参数表》要求,自行分配IP地址段、设备互联接口; 6.将分配的IP地址段和接口填入《赛场IP参数表》中(《赛场IP参数表》电子文件存于U盘“第一阶段”文件夹中,请填写完整后提交。) (二)第一阶段任务书(10分) 任务:网络空间安全平台搭建(10分)
1. 根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2. 根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进
行配置。
3. 根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。
4. 据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,并
将相应接口划入VLAN。
5. 配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的针对网关的ARP
欺骗攻击。
6. 配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP欺骗
2 / 7
攻击。
7. 在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MAC
Flooding渗透测试。
8. 在三层交换机上配置Access Management安全特性,阻止PC2发起ARP Spoofing
渗透测试。
9. 在三层交换机上配置端口环路检测(Loopback Detection),防止来自任意物理接
口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10. 配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
(三)第二阶段任务书(60分)
任务1:SQL注入攻防 任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server 服务器场景安装服务/工具1:Apache2.2; 服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000; 服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将登录密码作为Flag提交;
3. 进入WebServ2003服务器场景的C:\\AppServ\\www目录,找到
loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交;
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交;
3 / 7
5. 访问WebServ2003服务器场景,\,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,Web页面回显作为Flag提交;
7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除
WebServ2003服务器场景的C:\\目录下的1.txt文档,并将注入代码作为Flag提交;
8. 进入WebServ2003服务器场景的C:\\AppServ\\www目录,找到
QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交;
9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
任务2:XSS和CSRF攻防 任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server 服务器场景安装服务/工具1:Apache2.2; 服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000; 服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,\Employee Message Board\,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行XSS渗透测试,并进入\Message Board\页面,根据该页面的显示,确定是注入点,并将Web页面回显内容作为Flag提交;
3. 对该任务题目1页面注入点进行渗透测试,使\Board\页面的访问者执行网站(http://hacker.org/)中的木马程序:http://hacker.org/TrojanHorse.exe,并将注入代码内容作为Flag
4 / 7
提交;
4. 通过IIS搭建网站(http://hacker.org/),并通过PC2生成木马程序TrojanHorse.exe,将该程序复制到网站(http://hacker.org/)的WWW根目录下,并将该网站标题作为Flag提交;
5. 当\页面的访问者执行网站(http://hacker.org/)中的木马程序TrojanHorse.exe以后,访问者主机需要被PC-3远程控制,打开访问者主机的CMD.exe命令行窗口,并将该操作结果回显作为Flag提交;
6. 进入WebServ2003服务器场景的C:\\AppServ\\www目录,找到insert.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御XSS渗透测试,并将修改后的PHP源程序中的Flag提交;
7. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行XSS渗透测试无效,并将Web页面回显作为Flag提交;
8. 访问WebServ2003服务器场景,\,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
9. 对该任务题目1页面注入点进行渗透测试,使\Board\页面的访问者向页面ShoppingProcess.php提交参数goods=cpu&quantity=999999,查看\页面,并将注入代码作为Flag提交;
10. 进入WebServ2003服务器场景的C:\\AppServ\\www目录,找到
DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御CSRF渗透测试,并将修改后的源程序中的Flag提交;
11. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行CSRF渗透测试无效,并将Web页面回显内容作为Flag提交;
(四)第三阶段任务书:分组对抗(30分)
假定各位选手是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。
5 / 7
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典综合文库2024广西职业院校技能大赛中职组《网络空间安全》样题在线全文阅读。
相关推荐:
