1.命题方向
网络安全 + 渗透测试
2.题目类别
应用类
3.题目名称
网络安全漏洞综合实验场设计与开发
4.背景说明
【整体背景】
随着互联网的快速发展和网络攻击手段的不断升级,网络安全面临着前所未有的挑战,尤其是Web应用的安全漏洞频发,给企业和个人带来了巨大的风险。企业和组织在保障信息安全的过程中,需要不断提升自身的防护能力和响应能力,构建Web漏洞靶场不仅有助于提高网络安全防护能力,也为网络安全人才的培养提供了实践平台。
为应对日益严峻的网络安全形势,我国不断完善网络安全法律法规体系。2017年实施的《网络安全法》为网络安全的法律基础奠定了基础,明确了网络运营者的安全保护义务和个人信息保护要求。此外,《数据安全法》和《个人信息保护法》的出台,进一步加强了对数据安全和个人隐私的保护,要求企业在数据处理和存储过程中采取必要的技术措施,确保数据的安全性。这些法律法规不仅提升了企业的合规意识,也推动了网络安全技术和人才的创新发展。
尽管我国在网络安全方面取得了一定的进展,但网络安全人才的缺乏依然是制约我国网络安全发展的瓶颈之一。根据相关报告,网络安全专业人才的供给与需求存在较大差距,导致企业在应对复杂网络威胁时,缺乏足够的人力资源。因此,进一步提升网络安全人才的培养机制、增强企业的安全意识,并建立有效的激励机制以吸引和留住优秀人才,成为提升我国网络安全整体水平的重要举措。
【公司背景】
安恒信息技术股份有限公司(简称:安恒信息)成立于2007年,于2019年登陆科创板。作为行业领导者之一,安恒信息秉承“构建安全可信的数字世界”的企业使命,以数字经济的安全基石为企业定位,依托恒脑·安全垂域大模型,形成以DAS(D即DataSecurity-数据安全、A即AI-人工智能、S即SecurityServices-安全运营服务)为企业核心战略支撑,以网络安全、数据安全、云安全、信创安全、密码安全、安全服务等为主的数字安全能力,为逾10万家政企单位提供数字安全产品及服务。安恒信息致力于网络安全领域的研究与应用,拥有丰富的行业经验和技术积累。通过与合作伙伴的紧密合作,推动网络安全技术的发展,帮助各行各业提升信息安全防护能力。
【业务背景】
为贯彻党的十九大报告提出的“深化产教融合、校企合作”和“十四五”规划中关于“推进科研院所、高校、企业科研力量优化配置和资源共享”的要求,落实《国务院办公厅关于深化产教融合的若干意见》等文件精神,深化新时代应用型本科教育改革与发展,紧跟我国网络强国战略,按照《中华人民共和国网络安全法》“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流”的要求,安恒信息与国内各个高校开展校企合作,为高校提供网络安全产业一线的项目案例和先进的教学平台实践课程,以产业项目驱动产教融合,提升师生综合能力,培养产业急需、行业急需、区域急需和引领现代网络空间安全与智慧城市产业发展应用型、复合型、创新型的高素质人才,推动高校教学科研水平建设与发展。
5.项目说明
【问题说明】
网络安全漏洞综合实验场是一个模拟漏洞利用实践环境,内置多种常见典型漏洞。通过该实验场,学员可以理解常见Web应用漏洞和数据库漏洞的基本原理并动手实践。目前市面上已有DVWA、WebGoat、Sqli-labs、Upload-labs、Pikachu等类似的开源靶场项目,但这类型靶场更侧重于漏洞的列举和利用,漏洞类型丰富但对每个漏洞的设计不够深入,且通常在界面中缺少引导性的漏洞原理和利用方法的详细讲解。
网络安全是一个系统工程,涉及漏洞识别、攻击模拟、应急响应等多个环节。参赛者需要在漏洞靶场的搭建过程中,充分运用现代技术手段,设计出完整的渗透测试流程,实现对不同类型漏洞的有效检测和利用。
【用户期望】
为满足高校网络空间安全、信息安全等相关专业的实践教学需求,需设计并开发网络安全漏洞综合实验场,实验场业务设计需满足以下需求:
(1)支持常见漏洞实践学习,类型包括:
SQL注入漏洞:包括字符型SQL注入、数值型SQL注入、联合注入、报错注入、布尔盲注、时间盲注、二阶注入,以及空格校验绕过、SQL关键词校验绕过等实验内容。
(2)跨站脚本漏洞:包括反射型跨站脚本、存储型跨站脚本、DOM型跨站脚本、利用XSS平台获取Cookie等实验内容。
(3)跨站请求伪造漏洞:包括GET型CSRF、POST型CSRF、CSRF漏洞POC改造、CSRF绕过Referer检测等实验内容。
(4)任意文件上传漏洞:包括JavaScript校验绕过、MIME类型检测绕过、扩展名校验绕过、文件内容检测绕过、二次渲染绕过、条件竞争绕过等实验内容。
(5)任意文件下载漏洞:包括路径遍历、未授权文件任意下载、敏感文件获取等实验内容。
(6)命令/代码执行漏洞:包括绕过字符串过滤限制、无回显的命令执行、利用命令/代码执行漏洞写木马、反弹shell等实验内容。
(7)文件包含漏洞:包括基础文件包含、敏感文件读取、日志文件包含、SESSION文件包含、伪协议实现文件读取和代码执行、任意目录遍历、00截断绕过等实验内容。
(8)XML外部实体注入漏洞:包括有回显的XXE、无回显的XXE等实验内容。
(9)业务逻辑漏洞:包括用户名遍历、重放攻击、验证码复用、支付逻辑、水平越权、垂直越权、未授权访问、登录认证绕过、密码重置、空口令等实验内容。
(10)中间件漏洞:包括Weblogic多种典型漏洞利用、Tomcat典型漏洞利用、Jboss典型漏洞利用等实验内容。
(11)组件漏洞:包括Shiro组件典型漏洞利用、Fastjson典型漏洞利用、Log4j典型漏洞利用等实验内容。
(12)第三方框架漏洞:包括Thinkphp多种典型漏洞利用、Struts2多种典型漏洞利用、Spring框架典型漏洞利用、若依框架典型漏洞利用等实验内容。
(13)CMS漏洞利用实战:包括Wordpress多种典型漏洞利用,以及其他常见CMS典型漏洞利用等实验内容。
(14)数据库漏洞利用实战:包括MySQL典型漏洞利用、Redis典型漏洞利用、PostgreSQL典型漏洞利用等实验内容。
(15)确保实验场前端界面美观整洁,针对每种漏洞的原理和利用方法提供详细的知识引导和操作提示;针对部分漏洞实践,支持控制展示漏洞对应关键源码。
(16)设计具体的漏洞实践操作流程,为每个漏洞撰写对应的实验手册。
(17)每个漏洞实验环节设置一个明确的实践操作目标,例如获取flag等形式;目标形式需统一,且尽可能避免通过非实验预期步骤获取操作目标。
6.任务要求
【开发说明】
参赛者需要根据所选的实验场类型,设计并实现以下内容:
(1)实验场搭建:选择合适的工具和技术搭建靶场,确保易于访问和使用。
(2)漏洞场景实现:设计漏洞场景,确保每个漏洞场景都有完整的操作流程。
(3)编写详细的实验手册,包括漏洞的环境介绍,描述每个环节具体的漏洞测试步骤和工具使用,且每个步骤需要附上对应的操作截图。
(4)测试与验证:开发过程中进行充分的功能测试,验证实验场和漏洞测试流程的有效性与准确性。
【技术要求与指标】
(1)需以Docker组网形式运行在常规计算设备上,支持常见漏洞的模拟测试实验。
(2)每种漏洞应具有明确的实验流程和验证机制。
(3)提供详细的实验手册,包括所有的实验步骤、预期结果和注意事项。
(4)确保实验场的安全性和可用性,防止不当使用。
【提交材料】
(1)项目概要介绍;
(2)项目简介 PPT;
(3)项目设计方案(需包含实验场漏洞类型、教学交互设计等内容,需说明相比典型Web应用漏洞实验环境的创新特点);
(4)项目演示视频(需展示实验场教学实践使用方法,以及典型漏洞利用完整流程);
(5)项目安装指南、教学文档(需包括所有的安装步骤、实验步骤、预期结果和注意事项);
(6)可运行的docker组网运行环境。
【任务清单】
(1)调研网络安全教学实践需求与现状;
(2)完成所选系统关键模块的需求分析;
(3)设计算法与关键模块的架构;
(4)编码开发与功能实现;
(5)测试验证主要功能和创新成果;
(6)探索应用场景落地。
【开发工具与数据接口】
不限开发平台及开发工具,可以借助开源工具。要求业务流程设计合理,程序可正常运行,限制在docker容器环境中运行。有技术说明即可,不需要做具体的接口对接集成调试与验证。
7.其他
如果有使用项目成果进行的具体教学案例,或项目成果经过实际教学场景测试,在不涉及知识产权的情况下,可以提供相关说明文档。
8.参考信息
可参考并借鉴DVWA、WebGoat、Sqli-labs、Upload-labs、Pikachu等开源Web漏洞实验环境的设计思路和代码实现。
https://github.com/digininja/DVWA
https://github.com/WebGoat/WebGoat
https://github.com/Audi-1/sqli-labs
https://github.com/c0ny1/upload-labs
https://github.com/zhuifengshaonianhanlu/pikachu
9.评分要点
赛题评分要点见附件一:A 类企业命题初赛统一评分标准。