一種CTF在線競賽平臺動態Flag處理方法及裝置制造方法及圖紙

本發明專利技術公開了一種CTF在線競賽平臺動態Flag處理方法及裝置，該方法包括：在接收到用戶訪問題目的請求時，生成動態Flag并保存，不同用戶訪問同一題目以及同一用戶訪問不同題目時生成的動態Flag均不同；用生成的動態Flag替換原始題目中的信息，生成新的題目返回給用戶；在接收到用戶提交的Flag時，將其與所保存的Flag進行對比，判斷用戶提交的是否正確。與現有技術相比，本發明專利技術通可以有效的減少選手交互Flag、獲取他人Flag的行為，讓選手更加專注于題目本身，放棄從其他非解題途徑獲得Flag的幻想，并且還能進一步發現選手可能存在的作弊行為，以便于對作弊選手進行警告、屏蔽、放開等操作。

Dynamic Flag processing method and device for CTF online competition platform

The invention discloses a CTF online competition platform for dynamic Flag processing method and device. The method includes: receiving user access to the topic request, generating dynamic Flag and dynamic Flag generation preservation, different users visit the same topic and the same user access to different problems are different; replace the original title information with the dynamic Flag generation, the formation of new subject returns to the user; receiving user submitted Flag, with the saved Flag comparison, determine the user submitted correctly. Compared with the prior art, the invention can effectively reduce the player interaction Flag, others Flag behavior, allowing players to focus more on the topic itself, give up to obtain Flag from other non fantasy and the way of solving problem, but also found that players may exist cheating, warning, cheating players for shielding, release etc. operation.

【技術實現步驟摘要】
一種CTF在線競賽平臺動態Flag處理方法及裝置
本專利技術涉及一種CTF在線競賽平臺動態Flag處理方法及裝置，屬于信息處理

技術介紹
CTF(CaptureTheFlag)中文一般譯作奪旗賽，是一種流行的信息安全競賽形式。其大致流程是，參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環境中得到一串具有一定格式的字符串或其他內容，并將其提交給主辦方，從而奪得分數。為了方便稱呼，我們把這樣的內容稱之為“Flag”。CTF競賽模式主要有三類，解題模式，攻防模式和混合模式。一、解題模式(Jeopardy)在解題模式CTF賽制中，參賽隊伍可以通過互聯網或者現場網絡參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，以解決網絡安全技術挑戰題目的分值和時間來排名，通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。二、攻防模式(Attack-Defense)在攻防模式CTF賽制中，參賽隊伍在網絡空間互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況，最終也以得分直接分出勝負，是一種競爭激烈，具有很強觀賞性和高度透明性的網絡安全賽制。在這種賽制中，不僅僅是比參賽隊員的智力和技術，也比體力(因為比賽一般都會持續48小時及以上)，同時也比團隊之間的分工配合與合作。三、混合模式(Mix)結合了解題模式與攻防模式的CTF賽制，比如參賽隊伍通過解題可以獲取一些初始分數，然后通過攻防對抗進行得分增減的零和游戲，最終以得分高低分出勝負。其中解題模式一般為在線競賽，各種CTF在線競賽平臺應運而生，現有CTF在線競賽平臺采用題目、平臺松耦合機制，需求環境的題目需提前部署題目環境，錄制題目內容，在比賽中使用CTF在線競賽平臺引導用戶訪問現有內容和環境進行答題。這種方式主要有個弊端即題目Flag唯一，所有隊伍共享題目文本/附件/環境，Flag是唯一的，參賽隊伍/人可以通過非解題手段獲取他人Flag提交，平臺無法判斷Flag獲取途徑，也無法通過Flag區分獲取途徑。
技術實現思路
專利技術目的：針對現有技術中存在的問題，本專利技術提供一種CTF在線競賽平臺動態Flag處理方法及裝置，有效預防參賽選手作弊現象。技術方案：為實現上述專利技術目的，本專利技術采用如下技術方案：一種CTF在線競賽平臺動態Flag處理方法，包括如下步驟：(1)在接收到用戶訪問題目的請求時，生成動態Flag并保存，不同用戶訪問同一題目以及同一用戶訪問不同題目時生成的動態Flag均不同；(2)用步驟(1)生成的動態Flag替換原始題目中的信息，生成新的題目返回給用戶；(3)在接收到用戶提交的Flag時，將其與所保存的Flag進行對比，判斷用戶提交的是否正確。所述題目為文本說明類題目時，所述步驟(2)中用動態Flag替換原始題目中的文本，動態生成包含動態Flag的新的題目文本。所述題目為附件下載類題目時，所述步驟(2)中根據動態Flag修改原始題目的內容，生成新的文件并將新文件的下載地址返回給用戶；若所述附件下載類題目為編譯后的可執行文件，則根據動態Flag修改相應代碼文件的內容，重新編譯生成新的可執行文件，并將下載地址返回給用戶。作為優選，當需下載的文件為多個文件時，將多個文件打包后并將壓縮包的下載地址返回給用戶。所述題目為在線環境類題目時，所述步驟(2)中通過在環境生成之前將動態Flag寫入初始化腳本實現將Flag注入到在線環境中。作為優選，在線環境的初始化腳本中包括Flag注入腳本，步驟(2)中先根據動態Flag修改Flag注入腳本內容，生成新的Flag注入腳本，或將動態Flag作為參數傳遞給Flag注入腳本，再調用環境部署程序進行在線環境部署，將部署的在線環境訪問地址返回給用戶。作為優選，所述步驟(1)中動態Flag為隨機產生的一定長度的字符串，或者采用對用戶信息、題目信息和時間戳進行不可逆加密算法得到的字符串。作為優選，所述步驟(3)中若用戶提交的Flag不正確，還判斷用戶是否作弊，若用戶提交的是其他用戶的Flag，則認為兩個用戶之間存在作弊行為。一種基于上述的CTF在線競賽平臺動態Flag處理方法的裝置，包括：用戶請求與響應模塊，動態Flag模塊，題目生成模塊，以及驗證模塊；所述用戶請求與響應模塊，用于接收用戶訪問題目的請求，并將動態生成的題目返回給用戶；所述動態Flag模塊，用于生成并保存動態Flag；題目生成模塊，用于接收動態Flag模塊生成的Flag，并根據接收到的動態Flag動態生成相應的題目；所述驗證模塊，用于將用戶提交的動態Flag與所保存的Flag進行對比，判斷用戶提交的是否正確和是否作弊。所述題目生成模塊包括：文本說明類題目生成單元，用于接收動態Flag，并動態生成包含動態Flag的新的題目文本；附件下載類題目生成單元，用于接收動態Flag，并根據動態Flag修改原始題目的內容，生成新的文件并將新文件的下載地址返回給用戶；以及在線環境類題目生成單元，用于接收動態Flag，并通過將動態Flag寫入初始化腳本從而實現將Flag注入到在線環境中。有益效果：與現有技術相比，本專利技術通過動態Flag為每個隊/個人動態生成不同包含不同Flag的題目，可以有效的減少隊員交互Flag、獲取他人Flag的行為，讓選手更加專注于題目本身，放棄從其他非解題途徑獲得Flag的幻想，并且還能進一步發現選手可能存在的作弊行為，以便于對作弊選手進行警告、屏蔽、放開等操作。附圖說明圖1為本專利技術實施例的方法流程圖。圖2為本專利技術實施例的裝置結構示意圖。具體實施方式下面結合具體實施例，進一步闡明本專利技術，應理解這些實施例僅用于說明本專利技術而不用于限制本專利技術的范圍，在閱讀了本專利技術之后，本領域技術人員對本專利技術的各種等價形式的修改均落于本申請所附權利要求所限定的范圍。如圖1所示，本專利技術實施例公開的一種CTF在線競賽平臺動態Flag處理方法，主要包含動態Flag生成、動態Flag分發以及用戶提交Flag動態驗證三個關鍵機制，具體包括如下步驟：步驟(1)、在接收到用戶訪問題目的請求時，生成動態Flag并保存，不同用戶訪問同一題目以及同一用戶訪問不同題目時生成的動態Flag均不同。本步驟中，用戶訪問題目時，由XCTF實訓平臺統一生成一個專屬于該用戶該題目的Flag并保存在數據庫中，該動態Flag可以是隨機產生的一定長度的字符串，或者根據用戶和題目相關信息采用加密算法得到，較為優選的方法是選取用戶ID、題目ID和時間戳的組合字符串通過MD5、SHA1等不可逆加密算法得到。平臺統一生成動態Flag后將Flag分發給題目。步驟(2)、用步驟(1)生成的動態Flag替換原始題目中的信息，生成新的題目返回給用戶。本步驟中，每個具體的題目收到分發的動態Flag后，便將新的Flag注入到原始題目模板中，具體注入方法對于CTF常見的文本說明類、附件下載類、在線環境類不同種類題目類型采取的實現方式稍有區別，具體如下：a.文本說明類題目生成題目進程收到平臺分發的Flag后，讀取原始題目文本，將新的Flag更新到文本中，動態生成包含動態Flag的文本本文檔來自技高網...

【技術保護點】
一種CTF在線競賽平臺動態Flag處理方法，其特征在于，包括如下步驟：（1）在接收到用戶訪問題目的請求時，生成動態Flag并保存，不同用戶訪問同一題目以及同一用戶訪問不同題目時生成的動態Flag均不同；（2）用步驟（1）生成的動態Flag替換原始題目中的信息，生成新的題目返回給用戶；（3）在接收到用戶提交的Flag時，將其與所保存的Flag進行對比，判斷用戶提交的是否正確。

【技術特征摘要】
1.一種CTF在線競賽平臺動態Flag處理方法，其特征在于，包括如下步驟：（1）在接收到用戶訪問題目的請求時，生成動態Flag并保存，不同用戶訪問同一題目以及同一用戶訪問不同題目時生成的動態Flag均不同；（2）用步驟（1）生成的動態Flag替換原始題目中的信息，生成新的題目返回給用戶；（3）在接收到用戶提交的Flag時，將其與所保存的Flag進行對比，判斷用戶提交的是否正確。2.根據權利要求1所述的一種CTF在線競賽平臺動態Flag處理方法，其特征在于，所述題目為文本說明類題目時，所述步驟（2）中用動態Flag替換原始題目中的文本，動態生成包含動態Flag的新的題目文本。3.根據權利要求1所述的一種CTF在線競賽平臺動態Flag處理方法，其特征在于，所述題目為附件下載類題目時，所述步驟（2）中根據動態Flag修改原始題目的內容，生成新的文件并將新文件的下載地址返回給用戶；若所述附件下載類題目為編譯后的可執行文件，則根據動態Flag修改相應代碼文件的內容，重新編譯生成新的可執行文件，并將下載地址返回給用戶。4.根據權利要求3所述的一種CTF在線競賽平臺動態Flag處理方法，其特征在于，當需下載的文件為多個文件時，將多個文件打包后并將壓縮包的下載地址返回給用戶。5.根據權利要求1所述的一種CTF在線競賽平臺動態Flag處理方法，其特征在于，所述題目為在線環境類題目時，所述步驟（2）中通過在環境生成之前將動態Flag寫入初始化腳本實現將Flag注入到在線環境中。6.根據權利要求5所述的一種CTF在線競賽平臺動態Flag處理方法，其特征在于，在線環境的初始化腳本中包括Flag注入腳本，步驟（2）中先根據動態Flag修改Flag注入腳本內容，生成新的Flag注入...

【專利技術屬性】
技術研發人員：王國偉，謝崢，高慶官，唐海均，諸葛建偉，王珩，王鵬，秦衛東，
申請(專利權)人：南京賽寧信息技術有限公司，
類型：發明
國別省市：江蘇,32