《2023年信息安全管理与评估赛项任务书(模块三)》详述了全国职业院校技能大赛高等职业教育组信息安全管理与评估的第三个模块——网络安全渗透和理论技能与职业素养。该模块的比赛时间设定为180分钟,要求参赛者在规定时间内完成一系列任务,涉及网络安全攻防、信息收集、漏洞利用等多个关键领域。
一、比赛规则与注意事项
1. 比赛得分主要通过找到特定格式的flag值来计算,如flag{<flag值>},部分题目可能存在非统一格式的flag,需仔细阅读题目的具体要求。
2. 参赛者需在U盘根目录创建名为“BGWxx”的文件夹,放入对应的答题文档,文件夹名称以工位号命名。
二、竞赛内容
1. 网络安全渗透:模拟真实网络环境,参赛者扮演攻击者角色,运用信息收集、漏洞发现、漏洞利用等技术,对网络进行渗透测试,寻找并提交flag值。
2. 理论技能与职业素养:这部分为在线答题,考察参赛者的理论知识和职业素养。
三、技术领域
渗透测试涵盖的领域包括但不限于:
1. 数据库攻击:针对数据库系统进行的安全测试,查找并利用潜在漏洞。
2. 枚举攻击:通过列举和尝试不同的数据或参数,发现系统弱点。
3. 权限提升攻击:寻找并利用允许提升用户权限的漏洞。
4. 基于应用系统的攻击:针对特定应用软件的漏洞进行攻击。
5. 基于操作系统的攻击:针对操作系统层面的漏洞进行渗透。
6. 逆向分析:通过对程序的反编译和分析,理解其内部工作原理,发现漏洞。
7. 密码学分析:对加密算法和密码系统的安全性进行评估。
8. 隐写分析:检测和提取隐藏在图像或其他媒体中的秘密信息。
四、评分标准
网络安全渗透部分占300分,理论技能与职业素养部分占100分。
五、工作任务
1. 人力资源管理系统:对门户网站进行黑盒测试,寻找并提交三个flag值。
2. 邮件系统:同样进行黑盒测试,找到两个flag值。
3. FTP服务器:需分析多个任务目录下的文件,找出隐藏的flag值,共涉及10个任务。
通过这个赛项,参赛者将全面锻炼和展示他们在信息安全领域的实践技能和理论知识,同时培养他们的职业素养,提高其在未来网络安全领域应对挑战的能力。
