黑客比賽攻擊互聯(lián)網(wǎng)真實(shí)應(yīng)用，作弊被抓會(huì)被吊打

看了這個(gè)標(biāo)題，你又懂雷鋒網(wǎng)宅客頻道的套路了。

畢竟，我們是寫過《30個(gè)黑客向某運(yùn)營(yíng)商內(nèi)網(wǎng)發(fā)起攻擊，結(jié)果對(duì)方拿出了對(duì)抗 NSA 級(jí)的武器……》和《近百名黑客向貴陽(yáng)真實(shí)網(wǎng)絡(luò)發(fā)起攻擊，政府居然還給他們頒獎(jiǎng)？》的人??！

好的，我又坦白了：這是一場(chǎng)攻防演練，但是一家頭部互聯(lián)網(wǎng)用車平臺(tái)（眾所周知的那一家，以下簡(jiǎn)稱 D）確實(shí)拿出了自己的真實(shí)互聯(lián)網(wǎng)應(yīng)用來“操練”。

以前有人一打開就吐槽“又不是真實(shí)攻擊有什么好看的”，還好后來有宅友評(píng)論正了名：

每一場(chǎng)攻防演練都有一個(gè)目標(biāo)。

這次雷鋒網(wǎng)要說的這場(chǎng)比賽名為“ X-NUCA 企業(yè)安全眾測(cè)靶場(chǎng)挑戰(zhàn)賽”。

NUCA 我懂，就是全國(guó)高校網(wǎng)安聯(lián)賽（ National University Cybersecurity Association），加上“X”也許是為了顯得神秘和酷炫吊炸天吧（據(jù)猜測(cè)，俗稱zhuangbility ）

這次目標(biāo)是什么？作弊被抓又是怎么回事？

仿真靶場(chǎng)，頭部互聯(lián)網(wǎng)用車平臺(tái)入局

這場(chǎng)比賽吸引了 112 支戰(zhàn)隊(duì)，501 人報(bào)名。11 月 25 上午 9：00，各戰(zhàn)隊(duì)魚貫而入，對(duì)永信至誠(chéng)搭建的靶場(chǎng)環(huán)境展開全面的攻勢(shì)。

所謂“靶場(chǎng)”，就是還原了互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)場(chǎng)景的一個(gè)平臺(tái)，為參賽選手提供了一次內(nèi)網(wǎng)安全檢測(cè)仿真演練的機(jī)會(huì)。參賽者需要在獨(dú)立的靶場(chǎng)環(huán)境中，與隊(duì)友共同探索黑暗，不斷地搜集線索，繞開死胡同，逐步完善大腦中對(duì)這個(gè)區(qū)域的地形圖，只有最早走出靶場(chǎng)的團(tuán)隊(duì)才能發(fā)現(xiàn)寶藏。

說白了，就是仿真了一個(gè)小型企業(yè)內(nèi)網(wǎng)的典型場(chǎng)景，讓參賽者嘗試攻擊，找出漏洞。

你要懷疑了，“仿真”和“真”還是有區(qū)別嘛，白云世界皮具城的名牌包能都是真的嗎？

首先，這個(gè)“靶場(chǎng)”還是很接近真實(shí)內(nèi)網(wǎng)場(chǎng)景的，對(duì)于安全行業(yè)練兵而言，可能已經(jīng)比 CTF 等做題類競(jìng)賽更滿足企業(yè)的需求。

再者，為了讓攻擊“更真”，本次比賽在靶場(chǎng)仿真環(huán)境中引入了真實(shí)業(yè)務(wù)網(wǎng)站的測(cè)試，測(cè)試目標(biāo)為 D 旗下的某一真實(shí)互聯(lián)網(wǎng)應(yīng)用。

參賽者在靶場(chǎng)內(nèi)網(wǎng)安全檢查模式中，只需答對(duì)簽到題，即可觸發(fā)隱藏關(guān)卡，進(jìn)入“有信眾測(cè)”模式。參賽隊(duì)伍需在比賽時(shí)間內(nèi)對(duì)該應(yīng)用進(jìn)行滲透測(cè)試，發(fā)現(xiàn)漏洞并按照指定報(bào)告的格式提交審核。

苦戰(zhàn) 8 小時(shí)后，來自暨南大學(xué)的 Xp0intFresh 戰(zhàn)隊(duì)榮登榜首，拿下了本場(chǎng)比賽的第一名，廣東外語(yǔ)外貿(mào)大學(xué)的 GWHT 戰(zhàn)隊(duì)以微弱分差拿下比賽第二名，南京郵電大學(xué)的X1cT34m戰(zhàn)隊(duì)斬獲了本場(chǎng)比賽的第三名。

蛤？D 居然敢拿出真實(shí)互聯(lián)網(wǎng)應(yīng)用來給大家“眾測(cè)”？對(duì)，這就是之前提到的“有信眾測(cè)”，有幾個(gè)前提條件：

第一，有名有姓，不能亂來。所有的參賽者都實(shí)名注冊(cè)，要求必須是中國(guó)注冊(cè)的大學(xué)的學(xué)生，有指導(dǎo)老師，一個(gè)大學(xué)最多有兩支隊(duì)伍參賽。

“這個(gè)虛擬場(chǎng)景是我們濃縮的大多數(shù)典型的中小互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)架構(gòu)，到了眾測(cè)，則是選手們作為一個(gè)眾測(cè)團(tuán)隊(duì)挖掘 D 的全域漏洞，只要是在 D 域名下，找到它的漏洞就可以提交得分?！庇佬胖琳\(chéng) CTO 張凱說。

由此，引出第二個(gè)要求：D 與永信至誠(chéng)約定，所有數(shù)據(jù)不存儲(chǔ)在靶場(chǎng)的服務(wù)器上，漏洞都經(jīng)過接口在 D 的 SRC 上提交。也就是說，只有 D 才能知道有什么漏洞。

第三，為了不影響 D 的業(yè)務(wù)，規(guī)定了比賽時(shí)間。

這樣一來，D 就愿意參與這場(chǎng)“游戲”了。

上帝模式＋抓作弊

事實(shí)上，這場(chǎng)比賽有一個(gè)重要原因：吸引大家挖漏洞，發(fā)現(xiàn)人才。這也是之前雷鋒網(wǎng)提到的，每場(chǎng)比賽都有目的。

為了通過比賽甄選人才，張凱等人做了兩件事。

第一，抓作弊，保證公平公正，展現(xiàn)選手真的有“實(shí)力”。

要強(qiáng)調(diào)一下，這是一場(chǎng)線上攻防賽，這意味著請(qǐng)“外援”代打、參賽團(tuán)隊(duì)之間“串題”、“串思路”等都是可以實(shí)現(xiàn)的。

雷鋒網(wǎng)曾采訪過一些頂尖 CTF 戰(zhàn)隊(duì)的選手，發(fā)現(xiàn)一個(gè)默認(rèn)規(guī)則：如果比賽沒有明令不可請(qǐng)?jiān)?，一些?zhàn)隊(duì)會(huì)請(qǐng)場(chǎng)外隊(duì)友助攻。

在這場(chǎng)比賽中，主辦方明令“不許這樣”。

但是，光規(guī)定不行，還得真發(fā)現(xiàn)。張凱稱，于是，比賽平臺(tái)上線了“烽火臺(tái)反作弊系統(tǒng)”，配套多種手段來遏制作弊行為。

看上去有點(diǎn)像“烽火戲諸侯”有木有？不過，跟美女無(wú)關(guān)。張凱表示，“烽火嘛，大家一聽就覺得很形象，烽火就是信號(hào)，我們要來抓作弊的信號(hào)?！?br/>

“即使相同一道題，你拿到的答案和他拿到答案應(yīng)該是不同的，如果我發(fā)現(xiàn)了這個(gè)答案是你的，然后被他提交了，這就是一個(gè)很危險(xiǎn)的信號(hào)——這個(gè)答案怎么漏出去？

只有一種可能，就是有些人把信息傳遞出去了，而他嘗試，就是他希望作弊，在這樣的游戲規(guī)則下，就算把答案稍微修改也不行，因?yàn)槊恳粋€(gè)答案的字符串隨機(jī)生成，而且非常長(zhǎng)，不是你能爆破得了的。

如果你爆破的話，系統(tǒng)也會(huì)直接提示把它接口封一段時(shí)間，這相當(dāng)于你在攻擊平臺(tái)?！睆垊P說。

在本次競(jìng)賽中，烽火臺(tái)反作弊平臺(tái)共監(jiān)測(cè)到了 84 次異常操作。

第二，“搶 HR 的活”，評(píng)測(cè)選手的行為和能力。

靶場(chǎng)上線了一款綜合人才能力評(píng)定系統(tǒng)——“安全對(duì)抗能力體系”，可以理解為游戲中的個(gè)人綜合能力評(píng)分，根據(jù)戰(zhàn)隊(duì)與單個(gè)選手在比賽中的表現(xiàn)給出安全能力評(píng)級(jí)，從多個(gè)維度綜合評(píng)定每支戰(zhàn)隊(duì)、每名隊(duì)員在信息收集、漏洞利用、痕跡清除等多方面的技術(shù)優(yōu)勢(shì)和短板，生成屬于個(gè)人的“安全能力優(yōu)勢(shì)雷達(dá)圖”。

“我們未來會(huì)持續(xù)跟蹤每個(gè)學(xué)員的成長(zhǎng)軌跡，為未來信息安全人才培訓(xùn)和篩選提供強(qiáng)有力的素材?！睆垊P說。

“非官方說法就是，你們搶了 HR 的活？”雷鋒網(wǎng)問。

張凱說：“應(yīng)該說我們給了參賽選手和 HR 一個(gè)更好的工具。這種在真實(shí)比賽中的能力圖譜（未來可能還會(huì)結(jié)合這個(gè)人在i春秋上學(xué)習(xí)的行為）幫我們更加清楚的定義了選手們的能力專長(zhǎng)。我們總說企業(yè)找不到想要的人，安全人才培養(yǎng)找不到施力點(diǎn)，現(xiàn)在以上帝視角來看，就可以有針對(duì)性地設(shè)計(jì)比賽過程，讓更符合企業(yè)能力需求的人參與比賽，或者引導(dǎo)選手去向企業(yè)更真實(shí)的需求成長(zhǎng)。”

問答

1.靶場(chǎng)真的很“真”嗎？開始是怎么考慮設(shè)置這樣的賽程的？

張凱：我們一直提的方案是我們要模擬一個(gè)場(chǎng)景，這個(gè)場(chǎng)景一定是在我們這種工業(yè)化的情況下比較常見的典型場(chǎng)景。

我們一般都會(huì)模擬，比如互聯(lián)網(wǎng)的企業(yè)，或者一些小型的工業(yè)企業(yè)，這個(gè)場(chǎng)景里不僅有 web 類的，或者瀏覽器攻防、二進(jìn)制攻防類的，我們是要搭建一個(gè)什么都有的典型場(chǎng)景。

它要有一個(gè)Web類區(qū)域作為入口進(jìn)來，然后你再進(jìn)入內(nèi)網(wǎng)。這可能要分成幾個(gè)層級(jí)，比如比較低數(shù)據(jù)權(quán)限的這種內(nèi)網(wǎng)區(qū)域和比較高數(shù)據(jù)權(quán)限的數(shù)據(jù)區(qū)域，模擬一家企業(yè)，一般企業(yè)的網(wǎng)絡(luò)就是以這樣的規(guī)模來存在，即使是現(xiàn)在在云上部署的那些企業(yè)的網(wǎng)絡(luò)基本也是這個(gè)架構(gòu)。

我們希望讓這些互聯(lián)網(wǎng)安全圈內(nèi)的人都能理解，一個(gè)黑客到底是如何對(duì)網(wǎng)絡(luò)進(jìn)行這樣的攻擊，在攻擊過程中你就會(huì)知道自己在哪一個(gè)環(huán)節(jié)上設(shè)定相應(yīng)的安全設(shè)備、規(guī)則、加固等，就能網(wǎng)絡(luò)安全做好。

我們模擬了這樣的一個(gè)企業(yè)內(nèi)網(wǎng)，在四臺(tái)虛擬機(jī)的情況下把它分割成了三個(gè)不同的網(wǎng)絡(luò)，然后內(nèi)置了 12 道題，一個(gè)戰(zhàn)隊(duì)登錄平臺(tái)后，隊(duì)員首先看到的這個(gè)場(chǎng)景是黑暗的，他只看到了一個(gè)入口，那個(gè)地方有一個(gè)Web網(wǎng)站，我們告訴他，已知的這個(gè)故事是——我們知道了這個(gè)目標(biāo)企業(yè)網(wǎng)站被黑客進(jìn)行了攻擊，我請(qǐng)來這些隊(duì)伍的目的就是請(qǐng)他們能重現(xiàn)或復(fù)現(xiàn)一下這個(gè)網(wǎng)絡(luò)場(chǎng)景里都有哪些漏洞，如何能夠找到遺失的關(guān)鍵信息。

每個(gè)戰(zhàn)隊(duì)通過這個(gè)入口一步一步尋找相應(yīng)的情報(bào)信息來完成這個(gè)網(wǎng)絡(luò)的探索，找到相應(yīng)的漏洞，最后拿到最危險(xiǎn)的、最重要的資產(chǎn)信息。

在靶場(chǎng)中部署高度仿真的場(chǎng)景，是網(wǎng)絡(luò)安全競(jìng)賽的發(fā)展方向。我希望未來靶場(chǎng)能夠融合交通運(yùn)輸、通訊、水利、供電等基礎(chǔ)設(shè)施應(yīng)用場(chǎng)景。

我們做了一場(chǎng)比賽后，又覺得說我們只是在靶場(chǎng)里模擬這樣一個(gè)場(chǎng)景，是不是真實(shí)性不夠好？所以，我們加入了i春秋的有信眾測(cè)的部分。

這個(gè)眾測(cè)部分的目標(biāo)就是一個(gè)真實(shí)的互聯(lián)網(wǎng)企業(yè)。和我們這個(gè)靶場(chǎng)的不同之初在于，它是互聯(lián)網(wǎng)上的一個(gè)開放入口，后面確實(shí)有一個(gè)企業(yè)那么大的網(wǎng)絡(luò)，這個(gè)隊(duì)伍可以同時(shí)體驗(yàn)虛擬的濃縮的典型場(chǎng)景和在互聯(lián)網(wǎng)上的真實(shí)企場(chǎng)景，同時(shí)發(fā)起攻擊，展現(xiàn)隊(duì)伍的能力。

另外，我覺得“有信眾測(cè)”是有市場(chǎng)的。我們“網(wǎng)絡(luò)空間安全智能仿真和眾測(cè)關(guān)鍵技術(shù)與服務(wù)北京市工程實(shí)驗(yàn)室”是2017年北京49個(gè)工程實(shí)驗(yàn)室中唯一一個(gè)眾測(cè)關(guān)鍵技術(shù)實(shí)驗(yàn)室，獲得了北京市發(fā)改委的正式批復(fù)，這意味著“有信眾測(cè)”邁入了一個(gè)全新的階段。

2.D 這次眾測(cè)結(jié)果怎么樣？

張凱：可能我們確實(shí)低估了眾測(cè)的難度，一般情況下眾測(cè)應(yīng)該提前多少天放出來，但因?yàn)楹椭鬓k方溝通了以后，主辦方認(rèn)為，既然我們說是一場(chǎng)靶場(chǎng)比賽，最好還是比賽過程中再把信息透露出去，所以這個(gè)時(shí)間又太短了，造成的后果就是有些戰(zhàn)隊(duì)并沒有準(zhǔn)備好，也確實(shí)夠難。

就 D 的全域而言，它已經(jīng)被挖了好多年，一直不斷在搞，但是至少我們把這種模式介紹給了這些隊(duì)伍，他們也知道了這家公司有 SRC 這樣的地方。

 就 D 自己的白帽子而言，其實(shí)也算是比較難挖的。這次算是拓展出來一個(gè)新模式。我們跟 D 聊的時(shí)候，D 其實(shí)也對(duì)于這次眾測(cè)沒有一個(gè)數(shù)量的預(yù)期，而是都想說進(jìn)行嘗試，看看這種形式可不可以。這算是滴滴第一次引入眾測(cè)模式。

3.所以你們接下來會(huì)跟很多 SRC 來搞這樣的事情？

張凱：嗯對(duì)。我們做了從 CTF 到 RHG（機(jī)器人自動(dòng)攻防比賽）等一系列線上線下賽事平臺(tái)，就是希望可以讓參賽者的能力轉(zhuǎn)變成網(wǎng)絡(luò)安全的原動(dòng)力，讓安全競(jìng)賽的價(jià)值回歸互聯(lián)網(wǎng)安全。但還沒有說做成了一個(gè)業(yè)務(wù)，這只是一個(gè)開始。

最后，來個(gè)小調(diào)查吧，你覺得怎樣才是高校的小萌新引起企業(yè)的重視，順利入職搞安全的最佳路徑？

A.打 CTF，畢竟獎(jiǎng)金豐厚，很多企業(yè)也有自己的 CTF

B.邊上學(xué)邊到目標(biāo)企業(yè)的 SRC 挖洞，近水樓臺(tái)先得月

C.去目標(biāo)企業(yè)實(shí)習(xí)，接受大佬的實(shí)打?qū)嵖简?yàn)

D.我是企業(yè)的，我就來看看這群小萌新怎么想的

E,組隊(duì)參加上述仿真型攻防挑戰(zhàn)賽，刷一波簡(jiǎn)歷

F.給宅客頻道打電話，拿門票參加安全類活動(dòng)，引起大佬的關(guān)注（別想了，湊數(shù)）

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道專欄作者，李勤。

想了解更多網(wǎng)絡(luò)安全信息？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。