网络安全项目深圳市选拔赛竞赛样题模块B终.docx

《网络安全项目深圳市选拔赛竞赛样题模块B终.docx》由会员分享，可在线阅读，更多相关《网络安全项目深圳市选拔赛竞赛样题模块B终.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、yvO r Id sl(f Ifs第46届世界技能大赛深圳市选拔赛网络安全模块B -网络安全事件响应、数字调查取证和应用程序安全深圳信息职业技术学院附录配置清单Web_Server服务器（虚拟机形式提供）计算机名Web Server系统用户名：root密码：W0rldskill2019IP地址：192. 168. 1. 11/24Competitor_01计算机名：CompetitorOl系统用户名：Administrator密码：123456IP地址：192. 168. 1. 252/24Competitor_02organization:Competitor计算机名：Competitor_

2、02系统用户名：Administrator密码：123456IP地址：192. 168. 1. 253/24TD54_ModuleA_PreVersion:1 .08/16world China目录目录1模块B竞赛工程样题2介绍2所需的设备、机械、装置和材料2评分方案2工程和任务的描述2工作任务3第一局部应急响应3任务设备清单（Web_Server服务器）3工作任务一应急响应（Web Server服务器）3第二局部漏洞检测和修复3任务设备清单（Webserver服务器）3工作任务一 web应用程序的漏洞修复3工作任务二操作系统的漏洞修复与加固3第三局部数字调查取证4任务设备清单（win. im

3、g, mem. dump Network, pacp和取证镜像文件）4工作任务一 内存取证 （win. img 和 mem. dump） 4工作任务二 网络数据包分析（network, pcap） 4工作任务三文件分析（取证镜像文件）4第四局部代码审计6详细说明6识别出造成安全威胁的代码行6附录8配置清单8Web_Server服务器（虚拟机形式提供）8Competitor_01 8Competitor_ 028TD54 ModuleA PreTD54 ModuleA PreVersion:1.01/16模块B竞赛工程样题本竞赛工程建议书由以下文件组成：第46届世界技能大赛网络安全工程深圳市选拔

4、赛竞赛样题-模块B介绍竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以 下指引！(1)当竞赛结束，离开时请不要关机。(2)所有配置应当在重启后有效。(3)除了 CD-ROM/H加/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试工程都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案根据目前技术描述中的技能大赛标准规范，这个测试工程模块分数为120分。工程和任务的描述你和你的团队是网络安全技术支持团队。A集团的服务器被黑客入侵，您的团队需要启 动应急响应，帮助该公司追踪此网络攻击的来源，分析黑客的攻击方法，

5、发现系统中的漏洞； 对攻击事件进行调查取证，分析恶意软件的行为；修复系统中的漏洞，删除系统中黑客隐藏 的后门，恢复系统的正常运行，任务分为以下几个局部： 应急响应 漏洞检测和修复 数字调查取证 代码审计本局部的工作任务由参赛选手完成后，填写在“第46届世界技能大赛网络安全工程安徽 省选拔赛竞赛-模块B答题卷”中。选手的电脑中已经安装好Office软件并提供必要的软件 工具 (Tools工具包)。2/16Version:1.0TD54_ModuleA_Pre工作任务第一局部应急响应A集团的Web_Server服务器被黑客入侵，该服务器的web应用系统被上传恶意软件，系 统文件被恶意软件破坏，您的

6、团队需要帮助该公司追踪此网络攻击的来源，分析黑客的攻击 方法，发现系统中的漏洞，并对发现的漏洞进行修复。任务设备清单（Web_Server服务器）在Web_Server上已安装设定好基本的CentOS操作系统，默认安装部署了 Web应用系统。注意：Webserver服务器的基本配置参见附录，假设题目中未明确规定，请使用默认配置。工作任务一应急响应（Web_Server服务器） 找到黑客写入恶意代码的Web应用系统文件，提交文件名 找到黑客留下的webshell后门程序，提交文件名和shell密码 分析黑客针对web系统的攻击行为 找到系统存在的恶意进程 找到恶意进程的（ELF）文件 分析黑客留

7、下的后门程序（ELF文件）描述该恶意程序行为第二局部漏洞检测和修复任务设备清单（Web_Server服务器）在Web_Server上已安装设定好基本的CentOS操作系统，默认安装部署了 Web应用系统。注意：Web_Server服务器的基本配置参见附录，假设题目中未明确规定，请使用默认配置。工作任务一 web应用程序的漏洞修复 分析web系统中存在漏洞的php文件 加固web系统相关的配置项工作任务二操作系统的漏洞修复与加 找到被后门程序（ELF文件）感染的系统文件 恢复被恶意程序修改的系统配置TD54 ModuleA PreTD54 ModuleA PreVersion:1 .03/16第

8、三局部数字调查取证任务设备清单（win. img, mem. dump Network, pacp和取证镜像文件）工作任务一 内存取证（win. img和mem. dump）分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，并分析恶意软件 行为； 识别恶意程序进程 定位隐藏的恶意程序 通过分析PE文件来描述恶意程序的行为 找到恶意程序留在内存中key 恢复被恶意软件破坏的文件工作任务二网络数据包分析（network, pcap）分析A集团提供的网络包文件，找到恶意软件，并描述其行为： 识别网络数据包里的恶意程序文件 分析恶意程序文件，描述恶意程序行为 找到黑客在网络通信中的敏感信息

9、工作任务三文件分析（取证镜像文件）对给定取证镜像（eOl、dd、img等）进行分析，在大量文件中准确搜索、提取和固定比 赛要求的标的文件，且表达在取证报告中，并在报告中详细说明文件位置和正确呈现文件完 整内容的恢复后文件。要求： 文件头损坏的图片文件（JPG、PNG）进行取证和恢复，提交证据文件本体、文件基本信息 （文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的复合文档（doc、PPT、xls）且标的关键字为文本，进行取证和文件恢复， 提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件

10、完整内容的恢复后文件；文件头损坏的复合文档（doc、PPT、xls）且标的关键字为图片，进行取证和文件恢复， 提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文TD54 ModuleA PreVersion:1.04/16件Hash码、正确呈现文件完整内容的恢复后文件；压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合文档（doc、PPT、xls）且标的关键 字为文本，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合

11、文档（doc、PPT、xls）且标的关键 字为图片，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的压缩文件（RAR、ZIP）,压缩包内为文件头损坏的复合文档（doc、PPT、xls）且标的关键字为图片或文本，进行取证和文件恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；修改后缀名后的图片文件（JPG、PNG）取证，提交证据文件本体、文件基本信息（文件名、 路径、大小、创立时间、修改时间）、文件Hash码、

12、正确呈现文件完整内容的恢复后文件；修改后缀名后的文本文件（txt）取证，提交证据文件本体、文件基本信息（文件名、路径、大 小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；修改后缀名，标的关键字为文本的复合文档文件取证，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；被修改后缀名，标的关键字为图片的复合文档文件取证，提交证据文件本体、文件基本信息 （文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；文件头损坏的压缩包文件（后缀名被修改），压缩包中包含文

13、件的后缀名被修改、且文件 头损坏，标的关键字为图片或文本的复合文档文件的取证和恢复，提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash码、正确呈 现文件完整内容的恢复后文件；插入式隐藏文件取证，标的关键字为文本，提交证据文件本体、文件基本信息（文件名、 路径、大小、创立时间、修改时间）、文件Hash码、正确呈现文件完整内容的恢复后文件；插入式隐藏文件取证，标的关键字为图片，提交证据文件本体、文件基本信息（文件名、TD54 ModuleA PreTD54 ModuleA PreVersion:1 .05/16路径、大小、创立时间、修改时间）、文件Hash码、正

14、确呈现文件完整内容的恢复后文件;含标的关键字的图片文件（JPG、PNG）,提交证据文件本体、文件基本信息（文件名、路径、大小、创立时间、修改时间）、文件Hash路径、大小、创立时间、修改时间）、文件Hash码;提交证据文件本体、文件基本信息 文件Hash码。含标的关键字的复合文件（docx、pptx xlsx）, （文件名、路径、大小、创立时间、修改时间）、第四局部代码审计查看答题卡中的代码列表并回答相应的问题。详细说明代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的 技术，作为一个高级软件开发者，代码安全作为你的日常工作的一局部非常重要的，因为大 局部代码从语法和

15、语义上来说是正确的,你必须依赖你的知识和经验来完成工作。网络安全工 程师至少要会对php java和C三种语言编写的代码进行审计。每个团队都将获得一个代码 列表，查看每一段代码然后回答附录1里的问题。识别出造成安全威胁的代码行 识别存在脆弱性的代码行 分析该脆弱性代码可能会受到的网络安全攻击类型 解释怎么才能使代码变得安全 提供针对脆弱性代码的安全加固范例：代码片段1ttinclude ftinclude void echo()printf(s，“Enter a word to be echoed: nz/); char buf128;TD54 ModuleA PreTD54 ModuleA

16、PreVersion:1.06/16gets (buf);printf (sn，buf);)int main ()(echo();)范例：问题回答：存在脆弱性的代码行第 8 行 gets (buf)代码可能会受到的网络安全攻 击类型缓冲区溢出攻击解释怎么才能使代码变得安全gets ()函数没有限定使用内存的大小和范围，仅依赖终止字 符来确定字符串的结尾，如果构造一个足够大的字符串，它 将覆盖函数的返回地址，从而实施缓冲区溢出攻击。如果使用了 fgets()函数那么不存在缓冲区溢出，fgets ()函 数指定了缓冲区的大小。提供针对脆弱性代码的安全加可以把第8行的函数gets (buf)替换成fgets (buf, 128,固。stdin);注意：无需重写整个代码。只 写受影响的行就足够。TD54 ModuleA PreVersion:1.07/16