2020年网络安全大赛：SQL注入攻防实战挑战

2020年网络安全大赛的样题文档详细介绍了该竞赛的组织和具体内容。竞赛主要集中在“网络安全”项目上，分为两个阶段：单兵模式系统渗透测试和分组对抗系统攻防，总时长为3小时。比赛的核心任务包括SQL注入攻防、XSS和CSRF攻防、命令注入与文件包含攻防等，每个阶段都有明确的任务目标和时间分配。 在赛项环境设置部分，关键信息有： 1. **网络拓扑图**：描述了比赛网络的结构，包括PC-1（实战平台管理机）和PC-2（渗透测试机）的IP地址及其相互连接关系，以及服务器场景的配置。 2. **IP地址规划**：强调了IP地址的分配原则，要求参赛者根据提供的IP参数表进行合理规划，确保地址的有效性和最小化浪费。 在第一阶段任务书中，针对SQL注入攻防的具体任务包括： - **任务1**：参赛者需分析login.php页面，找到提交变量名，并提交该变量名作为Flag。接着，他们需要通过SQL注入渗透测试，实现无限制用户名登录，并提交登录密码作为Flag。 - **任务要求**：例如，使用SQL注入语句（如`Union select * from users`）试图获取数据库信息，然后使用EditPlus工具修改loginAuth.php，增强其对SQL注入的防御能力，并提交修改后的Flag。 - **验证环节**：通过再次渗透测试确认修改有效，同时检查EmployeeInformationQuery页面，分析变量名并提交。 此外，还有针对其他漏洞的渗透测试任务，如检测并利用特定输入（%和_）识别注入点，以及执行删除文件的操作，以证明对WebServ2003服务器场景的控制能力。 这个样题文档对于准备参加网络安全竞赛的学生或专业人士来说，提供了重要的实践指南，让他们了解实际比赛中的环境设置、任务要求和安全防御技术。同时，它也展示了比赛对选手综合技能（如漏洞识别、攻击和防御技术、代码审查）的考察。