江西省教育系统网络安全技能大赛参赛说明.PDFVIP

江西省教育系统网络安全技能大赛参赛说明 一、报名步骤 ① 参赛选手通过江西教育网的“江西省教育系统网络安全技能大赛”专题页面进行 报名参赛 ；白帽导师通过补天官网大赛活动页面进行报名 ② 点击“立即报名按钮”；若无补天白帽子账号，请参考 “二、注册账号”； ③ 仔细阅读网页弹出的《保密协议》，并同意 ，点击“申请加入项目”按钮 ； ④ 选择报名的角色，参赛团队的成员请选择 “选手”角色，报名补天白帽导师请选 择 “导师”角色，选择对应的角色后点击 “报名”； ⑤ 若选择“选手”角色，网页自动弹出“选手报名信息”窗口，参赛选手仔细阅 读“选手报名信息”，并如实填写相关信息 ；然后点击“确认报名”，网页会自动 弹出“报名成功”窗口。则完成报名过程，报名成功。 若选择 “导师” ，则直接提示报名成功 二、注册账号 ①点击“请先登录”或者右上角“注册”按钮 ，页面跳转至注册页面； ②点击注册成为白帽子用户，页面跳转至注册信息填写页面 ③根据页面提示完成“账号注册”、“填写个人信息”、“收款账号”等信息，完成注册。 三、提交漏洞 在非比赛期间不能提交漏洞，在比赛期间，在比赛报名页面点击“提交漏洞”按钮提交漏 洞 ，附件 1 是漏洞等级定义，附加 2 是漏洞评分细则，附件 3 是本次参赛被测范围 ① 点击“提交漏洞”按钮，网页跳转至“提交漏洞”页面 ； ② 参赛选手认真阅读 “提交漏洞”页面的详细信息，必须提交测试范围内的漏洞，漏 洞测试范围见附件三或者提交漏洞页面 ； ③ 填写完漏洞相关信息，点击“提交漏洞”按钮，进行漏洞提交。完成一次漏洞提交 操作。 附表一：漏洞等级定义 本次大赛的漏洞等级定义如下 ： 高危漏洞 1) 直接获取权限的漏洞（服务器权限、移动 app 客户端权限）。包括但不限于远程任意命 令执行、可上传 webshell、可任意代码执行 2 ）直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、重要业务 的重点页面的存储型 XSS 漏洞 3 ）直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞 4 ）移动客户端app 产品的自身开发功能的漏洞。包括但不仅限于以远程方式获取移动客 户端权限执行任意命令和代码 5 ）越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密 码 6 ）高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏，大量用户的敏感信息泄 漏。 7 ）直接获取客户端权限的漏洞。包括但不限于远程任意命令执行 中危漏洞 1 ）需交互才能获取用户身份信息的漏洞。包括但不限于重要敏感操作的 CSRF、普通业务 的存储型 XSS 2 ）越权访问。包括但不限于绕过限制修改用户资料、执行用户操作； 3 ）比较严重的信息泄漏漏洞。包含敏感信息文件泄露（如数据库连接信息） 低危漏洞 1 ）能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,如:非重要信息泄 露、URL 跳转、较难利用的 XSS 安全漏洞、普通的 CSRF 漏洞等 附表二：评分细则 初赛积分规则： 低危：100-300 分 （后台弱口令，存储XSS ，存在后门，通用性漏洞如st2 等） 中危：200-500 分 （敏感信息泄露，越权，sql 注入等） 高危：400-2000 分或￥100- ￥200 （漏洞打包，sql 注入能获取大量重要数据，可 getshell ，内网渗透） 思路比较新颖，内网漫游或者漏洞数量比较多打包的现金范围￥100- ￥200 附表三：初赛被测域名 提交单位 （厂商名称） 测试域名 江西水利职业学院 江西水利职业学院 /login.portal 南昌工学院 江西应用技术职业学院 江西航空职业技术学院 50:83/xgxt/ 南昌理工学院 / 吉安职业技术学院 江西农业大学信息中心 井冈山大学 /html/index.html 江西农业工程