设计安全大赛
驱动网安人才培养模式创新
支撑数字生态底层范式转型
数字经济时代,面对愈演愈烈的安全威胁,内生安全是数字化、智能化对网络安全提出的新要求。第七届“强网”拟态防御国际精英挑战赛从设计安全理念出发,全球首创“设计安全大赛”,着眼重塑数字产品开发者“设计安全”理念,要求开发者在规划产品功能、架构设计的同时,预见到可能的安全风险,并通过合理的设计来规避或减轻这些风险。
“设计安全大赛”的举办,旨在牵引政府机构、产业界、学术界等对网络安全的重新认知,强化数字产品制造者在研发侧嵌入内生安全的使命感,驱动我国网络安全人才培养从“攻防者”向“开发者”转变,为我国数字生态系统底层驱动范式转型提供有力支撑。
第七届“强网”拟态防御国际精英挑战赛
定档11月18-21日,聚焦三大亮点
双白盒白金标准
跟踪热点持续扩展赛道
内生安全研究设计助力构建产业生态
全球重磅首推“设计安全大赛”
四道设计赛题正式发布
“设计安全大赛”要求参赛选手在不消除或改变系统漏洞的条件下,采用创新的架构设计策略和方案,实现对应用中漏洞的抑制。
赛题1:JAVA应用
一、赛题设置
现有一套java应用,包括业务逻辑代码、第三方组件log4j和web容器tomcat,包含如下三类漏洞:
(1)Web容器Tomcat中存在CVE-2020-1938任意文件读取漏洞;
(2)第三方组件log4j存在远程代码执行漏洞CVE-2021-44228;
(3)Jar包中存在文件上传逻辑漏洞。
赛事组委会提供的赛题材料包含:
附件A:预置漏洞的java web应用(javaWeb.zip)。
附件B:具有文件上传过滤功能的可选jar包。
要求:
(1)参赛选手在赛事组委会发布应用的基础上,采用架构设计的方案,实现对应用中漏洞的抑制。
(2)参赛选手设计的应用不应改变赛事组委会发布应用的功能,并最小化影响性能。
(3)赛事平台提供具有文件上传过滤功能的可替换jar包(附件B),供参赛选手选用。
二、提交内容
1. 即日起至10月22日,通过大赛官网提交:参赛者需提交解题论文,详述问题分析、解题思路、方案原理、设计架构、实现方案,暂不需提供测试结果。
2. 10月23日至11月8日,通过QQ群(群号:874291976)私聊赛题专家组提交:(1)解题论文补充;(2)设计系统提交。
三、评分规则及竞赛要求详见大赛官网(mimic2024.xctf.org.cn,复制链接到浏览器打开)。
赛题2:二进制应用
一、赛题设置
在二进制安全领域,特别是在保护嵌入式设备和系统软件的安全时,危险函数(如gets()、strcpy()、scanf()等)和非危险函数的不正确使用(如参数校验不完备)是常见的攻击目标。这些函数由于缺乏严格的边界检查或错误处理,容易引发缓冲区溢出、格式化字符串漏洞、堆栈破坏等经典网络安全问题。攻击者可以利用这些漏洞进行栈溢出攻击、代码注入、控制流劫持等,最终可能导致执行恶意代码、获取系统权限或导致拒绝服务攻击。
本赛题将为选手提供3个基于C/C++语言的C/S架构网络应用,分别包含可被利用的函数dprintf()、edit()、recv()。3个应用均以二进制形式提供,并提供可利用的exp脚本。
要求:
(1)针对3个应用分别设计安全防御架构或方法并进行安全加固,以防范基于漏洞函数的攻击,不局限于内生安全技术;
(2)安全加固前后应用正常功能必须保持一致;
(3)安全防御架构或方法必须具备通用性,安全加固须采用自动化脚本或工具,且自动化脚本或工具也须具备通用性。
二、提交内容
1. 即日起至10月22日,通过大赛官网提交:参赛者需提交解题论文,详述漏洞分析、解题思路、方案原理、设计架构、实现方案、关键算法、技术创新、使用流程。
2. 10月23日至11月8日,通过QQ群(群号:874291976)私聊赛题专家组提交解题论文附件,包括:a) 源代码;b) 测试报告;c) 系统运行视频。
三、评分规则及要求详见大赛官网(mimic2024.xctf.org.cn,复制链接到浏览器打开)。
赛题3:进程级冗余执行与同步机制设计
一、赛题设置
进程级的执行体及其冗余运行同步软件将使得动态异构冗余架构在实际的工程实践中更加轻量和灵活。请设计基于Linux操作系统的进程级执行体冗余运行和同步机制架构。
本赛题将为选手提供一个目标程序mimic_sync,该程序提供TCP服务端连接功能,支持服务端口配置,最大支持64个客户端并发连接,核心功能是接收客户端发送的数据并将其写入宿主机文件“/var/log/mimic_sync.log”,具体操作方式见附件。
要求在同一个Linux操作系统中,设计并实现以下功能:
(1)同时运行三个目标程序mimic_sync,且三个目标程序使用相同的服务端口。在此过程中,允许新增应用程序、内核模块、脚本等,但不允许安装和使用第三方软件,且禁止修改Linux操作系统源码和目标程序。
(2)在满足功能(1)的前提下,通过客户端分别向三个目标程序发送相同的数据,宿主机文件/var/log/mimic_sync.log只记录一组数据。客户端软件不限。
(3)在满足功能(1)的前提下,通过客户端分别向三个目标程序发送不同的数据(前两组数据相同,第三组数据与前两组不同),宿主机文件/var/log/mimic_sync.log只记录那组不同的数据,并在宿主机文件/var/log/mimic_result.log记录接收了不同数据的目标程序的进程号。客户端软件不限。
(4) 以非文件系统隔离方式实现功能(2)和功能(3)。
二、提交内容
1. 即日起至10月22日,通过大赛官网提交:参赛者需提交解题论文,详述解题思路、方案原理、设计架构、实现方案、关键算法、技术创新、使用流程。
2. 10月23日至11月8日,通过QQ群(群号:874291976)私聊赛题专家组提交解题论文附件,包括:a) 源代码;b) 测试报告;c) 系统运行视频。
三、评分规则及要求详见大赛官网(mimic2024.xctf.org.cn,复制链接到浏览器打开)。
赛题4:可防御漏洞攻击的四重化控制模组DCS
安全架构模型设计
一、赛题设置
在当前网络攻击手段日益复杂化,工业互联网的快速发展的背景下,网络弹性、设计安全、零信任、可信计算、移动目标防御和动态异构冗余等现代网络安全理念与技术为应对不断升级的网络威胁提供了新的解决方案。基于IEC61508的冗余表决架构,结合现代网络安全理念与技术,设计一个可防御漏洞攻击的四重化冗余分布式控制器架构模型,是保证系统安全、稳定运行的重要手段之一。
1. 架构设计
设计可防御漏洞攻击的DCS安全架构模型,可选用的理论和技术包括但不限于:网络弹性、设计安全、零信任、可信计算、移动目标防御和动态异构冗余等。
主要要求:
(1)支持4重化冗余控制模组;
(2)具备动态变化功能,某控制模组受攻击时,攻击者难以进行持续攻击;
(3)部分控制模组发生随机或攻击故障时,及时进行处理维持系统功能正常;
(4)建立安全性评估模型,提出系统安全性评价指标。
2. 验证
基于架构设计方案,从理论和仿真两个角度进行分析。
二、提交内容
1. 即日起至10月22日,通过大赛官网提交:设计文档,设计文档包括设计架构图、设计思路即可。
2. 10月23日至11月8日,论文通过大会官网(cessc.pmlabs.com.cn,选择“资料下载>学术征文”)提交,仿真报告通过QQ群(群号:874291976)私聊赛题专家组提交。
三、评分规则及要求详见大赛官网(mimic2024.xctf.org.cn,复制链接到浏览器打开)。
“设计安全大赛”
赛程安排
即日起至10月22日
· 赛题公布:大赛官方网站(mimic2024.xctf.org.cn)公布4道赛题,选手可选择任意一道或多道赛题设计提交,每道赛题将独立进行计分。
· 提交初稿:选手根据每道赛题的要求提交文档初稿,赛题要求详见大赛官网(mimic2024.xctf.org.cn)——“赛事资料下载”。
10月23日至11月7日
· 初稿审核:专家组针对选手提交的初稿进行审核。
· 开放环境:为合格队伍开放环境,赛题1提供环境,赛题2~4不提供环境。
· 选手根据每道赛题要求,提交后续材料:
提交方式:设计安全大赛QQ群内(群号:874291976)专家组私聊
提交内容(详见大赛官网资料下载——各赛题对应文档):
赛题1——系统部署、论文更新测试结果;
赛题2/3——附件系列材料;
赛题4——仿真报告及论文。
11月8日-11月10日
专家组针对选手提交的环境及材料评分
(赛题1)环境开放结束
(赛题1~4)材料提交截止
11月11日
公布答辩名单
晋级选手需参与线下答辩
每道赛题选出最多2份进入答辩环节的作品
(队伍可重复)
11月15日
现场答辩
根据提交内容及答辩表现综合评分
答辩场地:南京江宁紫金山实验室
冲顶“设计安全大赛”
瓜分20万奖池!
进行现场答辩的作品均可获奖,所有答辩作品合并进行评分排名及评奖。
设计安全大赛
设计赛QQ群号|874291976扫码加入赛事QQ群
点击“阅读原文”参与报名,获取赛事资料
(或复制官网链接mimic2024.xctf.org.cn到浏览器打开)