2015第二届阿里巴巴安全技术竞赛(ALICTF)
大赛名称:2015第二届阿里巴巴安全技术竞赛(ALICTF)
报名截止日期:2015年3月27日
大赛简介
简介:
[*]ALICTF是由阿里巴巴主办。致力于以实战来检验参赛者的实力,最后给予丰厚奖励以及聘用。
[*]大赛总决赛将于阿里巴巴总部西溪园区举行,参赛队伍不仅有机会获得万元现金奖励
还有机会获得美国BlackHat之旅、万元智能设备大礼包等。
比赛模式:
[*]本届大赛分为两个阶段,资格赛与总决赛。
自由组队,组队人数可为 1~3
人。
[*]资格赛采用解题模式(Jeopardy),覆盖4个专业领域,题目深度适中。
[*]总决赛采用渗透模式(PwnTheCloud),共约12题左右,题目深度中等偏难。
注意:本次竞赛web安全与渗透题目占比超过50%,可作为组队时成员构成的参考。
其他:
[*]flag形式:大部分flag形式为ALICTF{可见字符串},只需提交花括号内可见字符串(大小写敏感);如果flag为其他形式,题中会单独说明。
[*]战队积分相同时,先达到该分数的战队排名靠前。
[*]使用扫描器(例如Nikto、Nessus、AWVS等)不会对解题有帮助。
[*]用户名、队伍名等注册信息中,请勿出现暴力、色情、政治等相关表述,如发现将删除账号。
[*]如发现任何违规行为请向
alictf-notice@service.alibaba.com
发邮件举报,查实后组委会将赠送礼物。
参赛资格
资格赛 TOP 30 名队伍&
优秀单人或团队
竞赛时间:
3月27号21:00 - 3月29号
21:00
参赛面向人群:
不限。
获奖面向人群:
纯学生团队(若有非学生成员,团队失去资格)。
组队方式与人数:
自由组队,1~3
人。
第 13-30 名队伍将获得以下奖励:
[2000元云智能大礼包]
TOP
30名队伍均会被邀请直接进行校园招聘面试。
注:竞赛中,答题表现突出的会被邀请直接进行校园招聘面试。
我们会关注有解出高分题目(≥300分)的单人或团队。
总决赛
总决赛
TOP 12 名队伍
竞赛时间:
4月11号 9:00- 4月12号
17:00
参赛面向人群:纯学生团队(若有非学生成员,团队失去资格)。
获奖面向人群:纯学生团队(若有非学生成员,团队失去资格)。
组队方式与人数:自由组队,1~3
人。
第 1 名队伍将获得以下奖励:
[10万元现金大奖] +[BlackHat全程之旅]
第 2-4
名队伍将获得以下奖励:
[5万元现金大奖] +[1.5万元智能设备礼包]
第 5-12 名队伍将获得以下奖励:
[2万元现金大奖]
+[5000元智能设备礼包]
注:只有达到基准得分才能获得各个等级完整奖励,
其余只能获得5000元智能设备礼包。
资格赛
竞赛时间:
3月27号21:00
- 3月29号
21:00
参赛面向人群:不限。
获奖面向人群:高校纯学生团队(若有非学生成员,团队失去资格),以团队为单位。
组队方式与人数:自由组队,1~3人。
资格赛简介:
重要:赛制讲解请点击附件下载
[ALICTF2015_资格赛赛制讲解.pdf](3月份放出,会公告通知)
[*]资格赛采用解题模式(Jeopardy),覆盖4个专业领域,题目深度适中。
[*]4个专业领域分别为【Web安全】【渗透测试】【二进制安全】【无线端安全】。
[*]参赛选手在任意单独领域答题得分超过某个值时,会直接获得校招面试机会。
[*]TOP30
名队伍均会直接获得校招面试机会。
[*]第13-30 名队伍均会获得每个成员2千元云智能大礼包。
[*]第
1-12名队伍进军线下总决赛。
总决赛
竞赛时间:
4月11号 9:00- 4月12号
17:00
参赛面向人群:高校纯学生团队(若有非学生成员,团队失去资格),以团队为单位。
获奖面向人群:高校纯学生团队(若有非学生成员,团队失去资格),以团队为单位。
组队方式与人数:自由组队,1~3人。
总决赛简介:
重要:赛制讲解请点击附件下载
[ALICTF2015_总决赛赛制讲解.pdf](3月份放出,会公告通知)
[*]总决赛采用渗透模式(PwnTheCloud),共约12题左右,题目深度中等偏难。
[*]所有参赛团队的竞赛环境都是独立,相互不影响。意味着12个团队,将会有12个独立的答题环境。
[*]总决赛过程中,所获得的分数必须超过基准得分才会有现金奖励和三等奖以上的奖品奖励,未超过的团队仅有5000元智能设备礼包。
[*]例如总决赛所有题目加起来为10000分,基准得分若为1000分,只有超过1000分的团队才能完整得获得以下名次对应奖励。
[*]
第 5-12名队伍将获得 2万元现金大奖和 5000元智能设备礼包。
[*]第 2-4 名队伍将获得 5万元现金大奖和
1.5万元智能设备礼包。
[*]第 1 名队伍将获得
10万元现金大奖和全团队BlackHat全程之旅。
作弊与惩罚
反作弊体系:
[*]参赛选手们是黑客,官方团队也是黑客,既然大家都是黑客,所以呢~
大家还是坐着一起喝杯奶茶,不要相互消耗体力,是吧
=。=~
[*]反作弊体系由一群猥琐的男人们搭建,他们会做些什么。恩,吃包辣条也不知道。
交换账号:
[*]若发现A队的成员有登录B队的成员账号,一经查实,两个队伍均会被冻结账号失去参赛资格。
交换思路:
[*]若发现A队的成员在做题过程中,有明显B团队的做题思路甚至payload,一经查实,两个队伍均会被冻结账号失去参赛资格。
交换flag:
[*]所有队伍的每一道题目均不一样,若发现A队提交了B队的flag,一经查实,两个队伍均会被冻结账号失去参赛资格。
编写Writeup规范:
[*]必须写出所有关键步骤,包括截图,包括payload。
[*]Writeup中解某题的记录如果含糊不清,缺少多个关键步骤,官方有权按照作弊处理。
[*]官方组会针对Writeup中的内容进行提问,无法正面回答的内容会被视为作弊,所以自己写的内容最好是自己团队的。
竞赛指导
[*]ALICTF2015的主题词是渗透
渗透和web安全最本质的区别,是“实战”,因此,每一个题目,都不会遮遮掩掩,不会以“让你浪费时间”为目的。
在任何时候,你想不通该怎么做,那一定是因为没有实战过。你应该把每一关的业务流程图和网络拓扑图画起来。
题目或许在帮你把以前学到的技术串起来,或许在教你考虑新的方向。
总之,我们希望你将来回顾ALICTF时,发现自己学到了新东西,而不是浪费时间。
知识领域参考:
(1)[Web安全]请看刺的《白帽子讲Web安全》&
了解Java基础、php基础、前端安全相关
(2)[渗透测试]请了解业务逻辑相关、实战经验、Linux渗透、代码审计能力、流行开源监控程序攻防、zookeeper安全
(3)[逆向工程与漏洞挖掘]请看看雪论坛&《0day安全:软件漏洞分析技术》&《Windows
Internals》
(4)[Java安全]请了解框架安全、服务器安全
FAQ
[?]今年还有新的剧情和插画么?
[*]这个问题,我也挺头疼,因为各种那啥啥啥的情况,所以今年只有总决赛有剧情和插画。
看下一届比赛,会不会什么什么一些,继续我们霸气的剧情和插画,塞拉还是爱大家的(才不~),么么哒。
[?]安全技术竞赛跟安全工程师的笔试有什么关系?
[*]这场技术竞赛就是笔试环节,因为笔试已经无法很好地反应一个人的实战水平,我们相信实战能更好筛选出精英。
[?]ALICTF跟其他的CTF竞赛有什么区别?
[*]我们的题目全是安全专家设计的实战性题目,不会有其他CTF的趣味题、算法题等跟安全关联不大或者工程环境中意义不大的题目。
[?]决赛会报销机票与住行吗?
[*]会的,杭州休闲5日游。
[?]如果参加安全技术竞赛没通过,我还能投简历到其他岗位吗?
[*]可以的,不用担心。
注意事项
1.禁止队伍之间分享任何解题思路,违规者一律取消参赛资格。2.禁止任何对比赛平台的暴力破解,违规者一律取消参赛资格。3.禁止对赛题以外的比赛平台发起攻击,违规者一律取消参赛资格。4.关于比赛规则的最终解释权归大赛组委会所有。
大赛官网:
http://www.alictf.com
媒体支持:
http://ps.webxun.com/
图文内容收集整理自2015阿里巴巴安全技术竞赛官方网站,更多活动信息请浏览2015阿里巴巴安全技术竞赛官方网站(
http://www.alictf.com
)。本活动最终解释归阿里巴巴公司所有。