《网络安全项目深圳市选拔赛竞赛样题模块B终.docx》由会员分享,可在线阅读,更多相关《网络安全项目深圳市选拔赛竞赛样题模块B终.docx(9页珍藏版)》请在三一办公上搜索。
1、WorlclskiilsChina第46届世界技能大赛深圳市选拔赛网络安全模块B-网络安全事件响应、数字调查取证和应用程序安全.深圳信息职业技术学院目录目录1模块B竞赛项目样题2介绍2所需的设备、机械、装置和材料2评分方案2项目和任务的描述2工作任务3第一部分应急响应3任务设备清单(Web.Server服务器)3工作任务一应急响应(Web_SerVer服务器)3第二部分漏洞检测和修复3任务设备清单(Web.Server服务器)3工作任务一web应用程序的漏洞修复3工作任务二操作系统的漏洞修复与加固3第三部分数字调查取证4任务设备清单(win.img,mem.dumpNetwork,pacp和取
2、证镜像文件)4工作任务一内存取证(Win.img和mem.dump)4工作任务二网络数据包分析(network,pcap)4工作任务三文件分析(取证镜像文件)4第四部分代码审计6详细说明6识别出造成安全威胁的代码行6附录8配置清单8WebServer服务器(虚拟机形式提供)8Competitor_018Competitor_028模块B竞赛项目样题本竞赛项目建议书由以下文件组成:第46届世界技能大赛网络安全项目深圳市选拔赛竞赛样题-模块B介绍竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机。(2)所有配置应当在重启后有效。(
3、3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案根据目前技术描述中的技能大赛标准规范,这个测试项目模块分数为120分。项目和任务的描述你和你的团队是网络安全技术支持团队。A集团的服务器被黑客入侵,您的团队需要启动应急响应,帮助该公司追踪此网络攻击的来源,分析黑客的攻击方法,发现系统中的漏洞;对攻击事件进行调查取证,分析恶意软件的行为;修复系统中的漏洞,删除系统中黑客隐藏的后门,恢复系统的正常运行,任务分为以下几个部分: 应急响应 漏洞检测和修复 数字
4、调查取证 代码审计本部分的工作任务由参赛选手完成后,填写在“第46届世界技能大赛网络安全项目安徽省选拔赛竞赛-模块B答题卷”中。选手的电脑中已经安装好Office软件并提供必要的软件工具(Tools工具包)。工作任务第一部分应急响应A集团的Web_Server服务器被黑客入侵,该服务器的web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,分析黑客的攻击方法,发现系统中的漏洞,并对发现的漏洞进行修复。任务设备清单(Webserver服务器)在Web.Server上已安装设定好基本的CentOS操作系统,默认安装部署了Web应用系统。注意:Web_Se
5、rver服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。工作任务一应急响应(Web_Server服务器) 找到黑客写入恶意代码的Web应用系统文件,提交文件名 找到黑客留下的webshell后门程序,提交文件名和shell密码 分析黑客针对web系统的攻击行为 找到系统存在的恶意进程 找到恶意进程的(ELF)文件 分析黑客留下的后门程序(ELF文件)描述该恶意程序行为第二部分漏洞检测和修复任务设备清单(Webserver服务器)在Webserver上已安装设定好基本的CentOS操作系统,默认安装部署了Web应用系统。注意:Web.Server服务器的基本配置参见附录,若题目中未
6、明确规定,请使用默认配置。工作任务一web应用程序的漏洞修复 分析web系统中存在漏洞的php文件 加固web系统相关的配置项工作任务二操作系统的漏洞修复与加固 找到被后门程序(ELF文件)感染的系统文件 恢复被恶意程序修改的系统配置第三部分数字调查取证任务设备清单(win.img,mem.dumpNetwork.pacp和取证镜像文件)工作任务一内存取证(Win.img和mem.dump)分析A集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,并分析恶意软件行为; 识别恶意程序进程 定位隐藏的恶意程序 通过分析PE文件来描述恶意程序的行为 找到恶意程序留在内存中key 恢复被恶意软件破
7、坏的文件工作任务二网络数据包分析(network,pcap)分析A集团提供的网络包文件,找到恶意软件,并描述其行为: 识别网络数据包里的恶意程序文件 分析恶意程序文件,描述恶意程序行为 找到黑客在网络通信中的敏感信息工作任务三文件分析(取证镜像文件)对给定取证镜像(eOl、ddimg等)进行分析,在大量文件中准确搜索、提取和固定比赛要求的标的文件,且体现在取证报告中,并在报告中详细说明文件位置和正确呈现文件完整内容的恢复后文件。要求: 文件头损坏的图片文件(JPG、PNG)进行取证和恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整
8、内容的恢复后文件; 文件头损坏的复合文档(doc、PPT、xls)且标的关键字为文本,进行取证和文件恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件; 文件头损坏的复合文档(doc、PPT.xls)且标的关键字为图片,进行取证和文件恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;压缩文件(RAR、ZIP),压缩包内为文件头损坏的复合文档(doc、PPT.xls)且标的关键字为文本,进行取证和文件恢复,提交证据文件本体、文件基本信息(文
9、件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;压缩文件(RAR、ZIP),压缩包内为文件头损坏的复合文档(doc、PPT.xls)且标的关键字为图片,进行取证和文件恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;文件头损坏的压缩文件(RAR、ZIP),压缩包内为文件头损坏的复合文档(doc、PPT、xls)且标的关键字为图片或文本,进行取证和文件恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文
10、件;修改后缀名后的图片文件(JPG、PNG)取证,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;修改后缀名后的文本文件(txt)取证,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;修改后缀名,标的关键字为文本的复合文档文件取证,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;被修改后缀名,标的关键字为图片的复合文档文件取证,提交证据文件本体、文件基本信息(文件名、路
11、径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;文件头损坏的压缩包文件(后缀名被修改),压缩包中包含文件的后缀名被修改、且文件头损坏,标的关键字为图片或文本的复合文档文件的取证和恢复,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;插入式隐藏文件取证,标的关键字为文本,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;插入式隐藏文件取证,标的关键字为图片,提交证据文件本体、文件基本信息(文件名、路径、大小、创建时
12、间、修改时间)、文件Hash码、正确呈现文件完整内容的恢复后文件;含标的关键字的图片文件(JPG、PNG),提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码;含标的关键字的复合文件(docx、pptx、xlsx),提交证据文件本体、文件基本信息(文件名、路径、大小、创建时间、修改时间)、文件Hash码。第四部分代码审计查看答题卡中的代码列表并回答相应的问题。详细说明代码审计是指对源代码进行检查,寻找代码存在的脆弱性,这是一项需要多方面技能的技术,作为一个高级软件开发者,代码安全作为你的日常工作的一部分非常重要的,因为大部分代码从语法和语义上来说是正确的,
13、你必须依赖你的知识和经验来完成工作。网络安全工程师至少要会对phpjava和C三种语言编写的代码进行审计。每个团队都将获得一个代码列表,查看每一段代码然后回答附录1里的问题。识别出造成安全威胁的代码行 识别存在脆弱性的代码行 分析该脆弱性代码可能会受到的网络安全攻击类型 解释怎么才能使代码变得安全 提供针对脆弱性代码的安全加固范例:代码片段1ftinclude#includevoidecho()(printf(zz%szz,Enterawordtobeechoed:nzz);charbuf128;gets(buf);Printf(%sn”,buf);intmain()(echo();范例:问题
14、回答:存在脆弱性的代码行第8行gets(buf)代码可能会受到的网络安全攻击类型缓冲区溢出攻击解释怎么才能使代码变得安全gets。函数没有限定使用内存的大小和范围,仅依赖终止字符来确定字符串的结尾,如果构造一个足够大的字符串,它将覆盖函数的返回地址,从而实施缓冲区溢出攻击。如果使用了fgets()函数则不存在缓冲区溢出,fgetsO函数指定了缓冲区的大小。提供针对脆弱性代码的安全加固。注意:无需重写整个代码。只写受影响的行就足够。可以把第8行的函数gets(buf)替换成fgets(buf,128,stdin);附录配置清单Web.Server服务器(虚拟机形式提供)计算机名Web.Server系统用户名:root密码:WOrldski112O19IP地址:192.168.1.11/24Competitor_01计算机名:Competitor_01系统用户名:Administrator密码:123456IP地址:192.168.1.252/24Competitor_02organization:Competitor计算机名:Competitor_02系统用户名:Administrator密码:123456IP地址:192.168.1.253/24
