通知|“巴渝杯”大学生网络安全联赛开始报名啦！

各有关单位：

        为贯彻习近平总书记自主创新推进网络强国的战略指导精神，落实《中华人民共和国网络安全法》等法律法规要求，进一步提升网络安全意识，发挥网络安全防护对信息化发展的保障作用，增强网络安全从业人员和高校学生的网络安全创新意识、安全技能和团队协作方面的综合素质，创新网络安全人才培养机制，培养、选拔、推荐优秀网络安全专业人才，加强网络安全人才队伍建设，经研究，决定组织2024“巴渝杯”大学生网络安全联赛。现将有关事宜通知如下：
一、大赛组织
指导单位：中共重庆市委网信办
重庆市教育委员会
主办单位：中共重庆市合川区委网信办
重庆市合川区教育委员会
协办单位：重庆市合川区公安局
赛事组委会：重庆信息安全产业技术创新联盟
重庆计算机安全学会
重庆市软件技术创新战略联盟
重庆市互联网界联合会
重庆市信息安全协会
重庆商用密码行业协会
重庆市合川区网络安全学会
初赛承办单位：重庆科技大学
决赛承办单位：重庆人文科技学院
技术支持单位：绿盟科技集团股份有限公司
协办单位：重庆信安网络安全等级测评有限公司
重庆南华中天信息技术有限公司
二、参赛对象
面向重庆市所有在校大学生（含专科生、本科生和研究生，经所在学校同意均可参赛）。
每个学校最多可组织5支参赛队伍，每支参赛队伍不超过3名参赛人员，每名参赛人员只能参加一支队伍。
每支参赛队伍可设置一名指导教师兼任领队，同一单位的多支队伍可复用领队和指导教师，领队负责统筹、联络和协调大赛相关事宜。
三、联赛赛制
联赛采用积分制，共分为理论知识竞赛、CTF夺旗竞赛、网络安全作品赛（以下简称“单项赛”）和AWD网络安全攻防对抗竞赛（以下简称“总决赛”），单项赛与总决赛均为线下赛。
（一）比赛方式
理论知识竞赛主要考核信息安全基础知识、法律法规和标准规范等；CTF夺旗竞赛主要考核、密码学、WEB安全、PWN、安全杂项、逆向工程技术等；网络安全作品赛主要考核学生的创新意识与团队合作精神、创新实践与综合设计能力；总决赛主要考核实网攻防综合能力。
（二）积分及排名规则
对单项赛和总决赛分别进行积分排名。
1.单项赛积分排名前10%为一等奖，11%至30%为二等奖，31%至60%为三等奖；
2.总决赛积分排名前10%为一等奖，11%至30%为二等奖，31%至60%为三等奖，其余为优秀奖。
（三）晋级总决赛条件
1.理论知识竞赛、CTF夺旗竞赛和网络安全作品赛累计积分的排名前30%的队伍，晋级总决赛（具体名额以决赛通知为准）；
2.同一学校最多2支队伍晋级总决赛，承办学校最多3支队伍晋级总决赛。
3.承办学校的排名前2支队伍自动晋级总决赛；
4.若根据以上规则晋级决赛的队伍数量不足参赛队伍总数的30%，则在同一学校进入决赛队伍数量不超过2支（承办学校不超过3支）的前提下，按单项赛累计积分的排名依次递补足额数量的队伍进入决赛。
四、奖项设置
（一）向所有参赛选手颁发电子成绩证书；
（二）向单项赛中获得一等奖、二等奖、三等奖的队伍颁发纸质获奖证书；
（三）总决赛奖励
向获奖队伍颁发纸质获奖证书和奖金，在“2024年重庆网络安全宣传周”上为获奖队伍的代表颁奖；对参与积极、组织有力、成绩优秀的单位，颁发优秀组织奖；向获奖队伍的指导老师颁发优秀指导教师奖。
1.团体奖项
一等奖2个，颁发奖金5000元和证书；
二等奖5个，颁发奖金2000元和证书；
三等奖8个，颁发奖金1000元和证书；
优秀奖若干名，颁发证书。
2.组织奖项
优秀组织奖：若干名。对次大赛参与积极、组织有力、大赛公平、成绩优秀的单位，颁发“优秀组织奖”奖牌；
优秀指导教师奖：若干名。对获奖大赛队伍的指导老师颁发“优秀指导教师奖”证书。
五、竞赛评分规则
（一）理论知识竞赛
1.赛题内容
理论知识竞赛时间为60分钟（两个小时），采用闭卷答题方式，题型均为选择题，总计100题，主要考核信息安全基础知识、法律法规和标准规范等。
2.计分规则
总分为100分，每题1分。
（二）CTF夺旗竞赛
1.赛题内容
CTF夺旗赛时间为180分钟（3个小时），总计12道题，内容涵盖Web安全、密码学、Mobile、逆向、PWN、杂项六类。在第一阶段会发布6道赛题，第二阶段发布3道赛题，第三阶段发布3道赛题。
2.计分规则
选手在答题平台登录后可以看到题目信息。选手访问题目或根据题目描述下载附件进行答题。答题结束后，将获取到的flag提交至该题目flag提交框，系统判定后，会显示正确及错误提示。
每道赛题同一队Flag尝试提交次数最多为10次，如超过10次将无法提交本题的Flag。
如答题准确，除正常获得赛题分数外，首先答出每题的前三支队伍会根据提交flag的先后顺序获得额外加分，具体加分为：第一名额外加分=题目分数*30%、第二名额外加分=题目分数*20%、第三名额外加分=题目分数*10%；
分数相同者，根据最后一次正确提交flag时间来判定（先提交的排名靠前）。
3.flag提交方式
flag通常的形式为“flag{可见字符串}”，参赛选手需严格按照“flag{可见字符串}”格式提交；如果flag为其他形式，题目中会单独说明。题目flag提交系统判定后，会显示正确及错误提示。
（三）网络安全作品赛
本次网络安全作品赛采用统一命题方式，自主设计，参赛者须在截止日期前完成作品并网上提交。参赛作品的内容要求符合《“巴渝杯”大学生网络安全联赛网络安全作品赛参赛指南》（见附件2）中的相关规定。
（四）AWD网络安全攻防对抗竞赛
1.赛题内容
AWD攻防对抗赛时间为240分钟（4个小时），其中加固30分钟，混战210分钟。题目涵盖WEB类、PWN类等。各参赛队伍之间的网络场景互通，在限定网络内进行互相攻击和防守。
2.计分规则
参赛选手需在规定时间内充分挖掘漏洞并利用，提交其他选手的flag得分，同时通过修补自身防守机的漏洞进行防御来避免失分。
每队有3台服务器（Linux主机）需要维护，每队分配的管理用户非root，为低权限用户。每队需要在比赛过程中对自己的服务器进行漏洞（web）加固（整个比赛过程中均可加固），同时在规定时间内（开赛30分钟之后）对其他队伍主机进行攻击，通过漏洞获取相应的flag得分。
（1）每队基础分值50000分，得分不设置上限，最低分为0分；
（2）漏洞被攻击者成功利用，守方减法、攻方得分（得失分相当）；
（3）每个题目各有1个flag，攻击开始后flag每30分钟变一次，分值不变，flag分值100分；
（4）得分相同者，先提交者排名在先；
（5）对攻开始后（开赛30分钟后可以开始攻击），如果裁判检测（不定时检测）到任何一支队伍服务宕机（端口、web标志文件无法访问、系统功能不正常、使用通用WAF等方式导致宕机），无论任何原因服务器所属队伍扣分，每个扣分点100分，裁判不会告知选手扣分点详情。若单只队伍同一个服务连续宕机超过两次，扣2000分；
（6）每队服务器漏洞环境完全一致；
（7）如果对方没有修复漏洞，每30分钟还可以提交对方变化后的flag进行得分；
（8）每个队伍在竞赛中每台可申请一次重置主机，每个主机重置需要扣除团队分2000分（需参赛队伍签字确认）。
3.flag提交方式
flag通常的形式为“flag{可见字符串}”，参赛选手需严格按照“flag{可见字符串}”格式提交；如果flag为其他形式，题目中会单独说明。题目flag提交系统判定后，会显示正确及错误提示。
六、比赛纪律
1、参赛选手在赛前统一进行竞赛平台测试，签订《网络配置确认单》；
2、参赛队伍自行携带笔记本电脑、鼠标、键盘、网线接口进入赛场，提前准备相关工具；
3、严禁使用互联网，严禁携带、使用手机、蓝牙等设备，比赛过程中听从监考人员安排；
4、严禁通过任何方式交换答案；
5、严禁通过自带设备构建考场环境中WLAN或是跨参赛选手的内部局域网络；
6、严禁干扰他人比赛，尤其是通过技术手段对上机操作环境进行攻击；对抗环节可以修复漏洞，但不能影响其他选手比赛；
7、严禁对竞赛系统进行恶意攻击，比如暴力破解、CC/DDoS/ARP等恶意攻击，一经发现，所属队伍离场，分数记0分；
8、竞赛过程中如果出现相关故障，应举手示意监考人员协助解决; 在团队混战环节，一切服务器异常问题（宕机、服务挂起等）裁判均不予处理，异常服务器所属队伍按规则失去相应分数；
9、比赛规则的最终解释权归裁判组所有。
七、比赛时间、地点及报名方式
（一）比赛时间、地点
1.理论知识竞赛
时间：4月24日上午
地点：重庆科技大学（重庆市沙坪坝区大学城东路20号）
2.CTF夺旗竞赛
时间：4月24日下午；
地点：重庆科技大学（重庆市沙坪坝区大学城东路20号）
3.网络安全作品赛
时间：在5月31日前提交作品，6月6日公布成绩。
4.AWD网络安全攻防对抗竞赛（总决赛）
时间：6月中旬
地点：重庆人文科技学院（重庆市合川区草街镇学院街256号）
以上竞赛具体时间、地点以会务组官方通知为准。
（二）报名方式
1.报名采用线上报名方式，报名表请发送至邮箱：
739423176@qq.com；
2.报名截止时间：2024年4月15日18:00；
3.参赛选手应保证报名信息的准确有效，并附上学生证和身份证扫描件。资料审查时，如发现参赛选手不符合参赛规定，将取消参赛队伍的参赛或获奖资格；
4.赛事相关信息将通过大赛官网http://www.cisitia.com及大赛微信公众号发布。
5.大赛信息发布QQ群：511216580
八、其他事项
1、大赛为公益性比赛，采取自愿参加的原则，不收取参赛费用，参赛期间食宿交通自理；
2、各参赛单位要安排领队带队，负责参赛选手出行安全工作；
3、根据报名情况，将组织赛前培训，具体时间及培训方式以会务组官方通知为准；  
4、本活动最终解释权归大赛组委会所有，由大赛组委会通过大赛官网、微信群等方式统一公告和通知。
九、联系方式
张老师，13438852891；马老师，15823299700；
潘老师，18716444196；李老师，15730323160。
 
 
附件1：2024“巴渝杯”大学生网络安全联赛报名表
附件2：“巴渝杯”大学生网络安全联赛网络安全作品赛参赛指南
附件3：作品原创性声明
   
 
 
参赛单位：                             
队伍名称：                             
队员信息：

姓名	年级及专业	身份证号	联系电话

指导老师：

姓名	单位及职务	身份证号	联系电话

 
填表说明：
1、请于2024年4月15日18:00前发送至739423176@qq.com；
2、请附上身份证和学生证扫描件；
3、联系电话：张老师，13438852891；潘老师，18716444196；
马老师，15823299700；李老师，15730323160。
  (一）比赛方向
自动化Web漏洞扫描工具
（二）比赛形式
限定在截止日期前提交作品到指定邮箱。联赛裁判组将使用提交作品对特定靶场环境进行扫描，按扫描漏洞情况进行评分，并根据分数排名。作品提交截止后不能进行二次修改。
（三）作品形式
使用主流编程语言开发编写的脚本、程序或工具包。编程语言包括但不限于（C/C++、Golang、PHP、Python、Ruby、Java、VB）。作品可以使用开源扫描框架进行二次开发，也可以全新开发。作品应当考虑CPU、内存及网络带宽资源消耗，比赛给定机器为Intel （i5、i7系列CPU）、8G/16G内存。
（四）靶场环境：https://github.com/zhuifengshaonianhanlu/pikachu，开源靶场pikachu。此链接是代码仓库，如果需要模拟，可以下载环境在本地部署搭建。
（五）计分规则
得分判定：靶场共包含16大类（暴力破解（4项）、XSS（10项）、CSRF（3项）、SQL注入（10项）、RCE（2项）、文件包含（2项）、文件下载（1项）、文件上传（3项）、越权（2项）、目录遍历（1项）、敏感信息泄露（1项）、PHP反序列化（1项）、XXE漏洞（1项）、URL跳转（1项）、SSRF（2项）、隐藏漏洞类（若干项）），若干项细分漏洞场景。不同类型漏洞拥有相应分数，扫描出指定场景漏洞获取对应分数。
失分判断：对于误报情况，会给予一定的扣分。
误报漏洞数量1-10个， -5分
误报漏洞数量10-30个， -10分
误报漏洞数量30-100个， -15分
误报漏洞数量100-200个， -20分
误报漏洞数量200以上， -30分
额外加分项： 对于某一类漏洞场景的扫描，在现有技术手段基础上提出改进建议，并在靶场环境中取得良好效果的，经评委小组认定通过，加分5-10分。
 
 
 
 
 
  本参赛团队郑重声明：本团队在2024“巴渝杯”大学生网络安全联赛中提交的网络安全作品，是团队同学在指导老师的指导下，独立进行研究工作所取得的真实研究成果，从创意到实现均为原创。除作品报告中已经标注引用的内容外，本参赛作品不包含任何其他个人或集体已经发表或撰写过的研究成果。对本作品的研究做出贡献的个人和集体，均已在报告中以明确方式标明。本团队及作品严格遵守 2024“巴渝杯”大学生网络安全联赛相关规定，并且无侵害他人合法权益行为和违反相关法律法规行为。本团队对该作品拥有完整、合法的著作权及其他相关权益。本声明的法律结果由本参赛团队承担。