金融业网络安全攻防比赛 命题分析

备注：题目形式以及考纲源自于官方，个人考点分析为个人主观推论仅供参考，结论肯定是错误的。大家查看提取的考纲即可。

本次竞赛题目量为热身赛题量的2倍左右，由于比赛只有4个小时，考试难度应该与热身赛相当。

考试题目与金融业相关业务为背景，内容包含着：网站入侵，恶意病毒清除，勒索软件清理，移动应用破解，日志与流量分析取证，密码保护。其中：

web安全：50%

移动安全：15%

逆向：10%

密码学：10%

取证，隐写，pwn：各占5%

以下为各个方向的考纲：

Web安全

题目形式：

给出web网站，要求选手通过信息收集、挖掘漏洞、利用漏洞获取目标权限或数据。

考纲：

1.OWASP top 10，如sql，xss，文件上传

2.信息泄漏

3.php代码审计

4.java反编译与代码审计

5.业务逻辑问题

6.著名漏洞

考点分析：

1.sql注入，xss绕过过滤。

2.Java，php代码审计可能与sql，xss联合起来考试

3.著名漏洞可能会考：心脏滴血，struts2，shellshock（官方给的）

所需工具：

sqlmap，SourceLeakHacker，struts，心脏滴血，shellshock利用攻击。

移动安全

题目形式：

给出一个安卓应用，分析出算法，求解正确输入或是对服务端通信进行分析，实现指定的目标。

考纲：

1.安卓应用流量抓取与分析

2.安卓逆向与调试

3.安卓应用修改

考点分析：

1.初级考点：熟悉安卓java语言逆向，资源文件，备份文件的目录；

2.中级考点：安卓so文件的逆向分析，动态调试；

3.高级考点：安卓应用加壳，ollvm混淆分析（个人感觉不大可能，4个小时anti估计都搞不定）

所需工具：

jeb，jd-gui, GDA

逆向工程

题目形式：

给出一个二进制程序，分析出算法，求解正确输入或是对其进行patch，完成非预期功能。

考纲：

1.windows软件逆向分析与调试

2.linux软件逆向分析与调试

3.二进制软件修改

考点分析：

应该是常规题，跟热身赛差不多，动静分析应该可以得到答案。如果太难，4个小时不够用。

所需工具：

od，ida, peid

密码学

题目形式：

给出密文和相关信息（如加密代码，加密方式），求明文。

考纲：

1.hash算法

2.分组密码以及加密模式

3.rsa原理以及常见攻击方式

考点分析：

1.hash算法攻击，如：MD5扩展长度攻击（https://www.leavesongs.com/PENETRATION/phpwind-hash-length-extension-attack.html）

2.对称算法攻击，如：CBC反转攻击，ECB攻击（google keyword:ecb attack，）

3.RSA算法应该是计算明文，考虑到难度系数，可能会给出p,q,n,e等参数；

所需工具：

我也不知道怎么给，网上给的都是小工具，具体网盘会给出。

取证与隐写

题目形式：

给出日志，流量或文件，分析出里面的关键信息或隐藏信息。

考纲：

1.常见的日志分析

2.网络流量抓去与分析

3.常见文件格式

考点分析：

1.常见协议，如：smb，TLS，smtp协议，可能会考wannacry，心脏滴血漏洞，wannacry是利用永恒之蓝漏洞进行攻击，使用的是smb协议漏洞，心脏滴血针对的是https，使用的是tls协议；

2.常见文档，压缩文件格式，比如：execl，rar，pptx等金融常用软件。

3.日志分析估计是找webshell，或者通过日志看哪个位置有漏洞。需要：准备常见的日志分析工具

所需工具：

wireshark， tshark，Stegsolve

PWN

题目形式：

给出一个网络服务二进制，利用其漏洞（通常为内存破坏型漏洞），获取服务器权限

考纲：

1.栈溢出基本原理

2.栈溢出的利用技术

3.linux提供的保护机制

考点分析：

官方都说了基本信息原理了，应该与热身赛难度差不多。感觉应该是一个套路：

1.checksec看保护机制；

2.找到溢出点；

3.获取glibc的地址；

4.远程执行命令。

所需工具：

gdb-peda，ida，od

工具打包下载，工具来源网络，非本人收集整理，请自己查看是否存在后门：

链接: https://pan.baidu.com/s/1ISiXcbAU2UNkdFfAhe6uqw 密码: 7kbe

写文章必须要一张图，尴尬了。。。。