“第三届美团网络安全高校挑战赛”是由美团安全应急响应中心(MTSRC)与美团校园招聘团队联合发起,面向国内外各院校大学生举办的网络安全比赛。通过主办竞赛以及线上挖洞比赛,我们希望能与国内外各院校建立连接,聚合安全行业的青春力量,为更多热爱网络安全行业的年轻人提供切磋技艺与交流的平台,助力优秀人才在行业领域内发展进步。
本届比赛为“双赛并行”模式,根据赛制形式不同,将划分为“MT-CTF”赛场、“MT挖洞赛”赛场,参赛学生可自行选择参加两场或其中任意一场。
“MT-CTF”赛场
“MT挖洞赛”赛场
- 4月20日 10:00 ~ 5月20日 10:00
- 5月23日 9:00 ~ 21:00
- 5月30日 10:00 ~ 18:00
- 6月10日
启动报名
线上初赛
线上决赛
发榜颁奖
- 4月20日 10:00 ~ 5月27日 10:00
- 4月26日 10:00 ~ 5月28日 18:00
- 6月4日
启动报名
开赛
发榜颁奖
在读大学生/研究生,不限专业与院校
“MT-CTF”赛场
“MT挖洞赛”赛场
比赛形式
答题范围
积分规则
晋级规则
比赛说明
注意事项
风险规避
违规处理说明
初赛:
初赛采用线上CTF团队赛的形式,比赛时长12小时。
决赛:
决赛采用线上CTF个人赛的形式,比赛时长8小时。
初赛采用线上CTF团队赛的形式,比赛时长12小时。
决赛:
决赛采用线上CTF个人赛的形式,比赛时长8小时。
初赛:
考题范围包括Web 漏洞与渗透(Web),软件逆向 (Reverse Engineering),二进制漏洞挖掘和利用(Pwn),密码(Crypto)学与杂项(Misc)五大类型。
决赛:
考题范围包括Web 漏洞与渗透(Web),软件逆向 (Reverse Engineering),二进制漏洞挖掘和利用(Pwn),密码(Crypto)学与杂项(Misc)五大类型。
考题范围包括Web 漏洞与渗透(Web),软件逆向 (Reverse Engineering),二进制漏洞挖掘和利用(Pwn),密码(Crypto)学与杂项(Misc)五大类型。
决赛:
考题范围包括Web 漏洞与渗透(Web),软件逆向 (Reverse Engineering),二进制漏洞挖掘和利用(Pwn),密码(Crypto)学与杂项(Misc)五大类型。
初赛:
比赛采用国际上惯用的动态计分模式(题目分值随解对题目人数增多而动态递减),参赛队伍通过提交正确flag从而得到对应的分值,最终按照积分高低和提交flag时间进行排名。
决赛:
比赛采用国际上惯用的动态计分模式(题目分值随解对题目人数增多而动态递减),参赛选手通过提交正确flag从而得到对应的分值,最终按照积分高低和提交flag时间进行排名。
比赛采用国际上惯用的动态计分模式(题目分值随解对题目人数增多而动态递减),参赛队伍通过提交正确flag从而得到对应的分值,最终按照积分高低和提交flag时间进行排名。
决赛:
比赛采用国际上惯用的动态计分模式(题目分值随解对题目人数增多而动态递减),参赛选手通过提交正确flag从而得到对应的分值,最终按照积分高低和提交flag时间进行排名。
初赛:
最终,积分总榜排名前十二的队伍晋级决赛。
决赛:
个人:决赛将会对每个选手的累计答题得分进行个人排行,其中个人排行TOP10将获得个人奖。
团队:战队内所有选手累计答题的分数(战队内相同题目分数只计算一次)进行团队排行,争夺一、二、三等奖。
最终,积分总榜排名前十二的队伍晋级决赛。
决赛:
个人:决赛将会对每个选手的累计答题得分进行个人排行,其中个人排行TOP10将获得个人奖。
团队:战队内所有选手累计答题的分数(战队内相同题目分数只计算一次)进行团队排行,争夺一、二、三等奖。
参赛方式:以队伍为单位报名,可跨校组队(1人≤队伍人数)
比赛期间,参赛者线上提交漏洞至MTSRC官网:https://security.meituan.com,并按平台积分规则获得对应个人及团队积分,计入成绩榜;比赛结束后,个人积分榜排行前五的选手,以及团队积分榜排行榜前三的战队可获得现金奖励和荣誉奖励。
注:漏洞报告提交格式为【高校挑战赛-战队名称】+漏洞标题,如标题不符合格式将无法记分。
1.
进行测试请避开业务操作高峰期(工作日 9:00 - 18:00),避免影响真实用户的正常使用;
2.
当发现入侵类风险后需周知美团,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
3.
禁止邮件钓鱼社工;
4.
测试使用的非美团普通用户账号,需说明账号来源,不明来源的账号视为违规盗用或借用;
5.
测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
6.
测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
7.
获取网站的权限时,禁止修改代码文件或植入后门等操作;
8.
禁止用扫描器或其他自动化工具,只允许手工测试;
9.
参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;
10.
须知:单个系统只收取前三个相同类型的漏洞;
1.
测试过程不得损害业务正常运行。不得以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为;
2.
禁止盗用或借用管理账号、内部账号进行测试;
3.
禁止进行内网渗透行为,如内网扫描、主机提权的行为;
4.
禁止进行网络拒绝服务(DoS 或DDoS)测试;
5.
严禁下载源代码。若在不知情情况下下载,应及时告知厂商并删除;
6.
测试短信炸弹漏洞时,请填写自己的手机号,严禁对其他用户号码进行轰炸测试;
7.
测试SQL注入、越权读取数据类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
8.
禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试;
9.
测试验证越权增删查改时,请自行注册两个测试账号进行测试。务必控制测试范围,不得危害系统正常数据;
10.
我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害美团系统及用户的利益的攻击行为,我们保留追究法律责任的权利。
1.
在测试中,若发现测试人员存在上述禁止的行为,首次发现:所涉及的漏洞积分及相关奖励不予发放;再次发现:涉及测试人员的漏洞积分及相关奖励不予发放并不得继续参与测试。
2.
安全测试中,因违规测试行为造成业务损失,美团SRC保留追究法律责任的权利。
“MT-CTF”赛场
“MT挖洞赛”赛场
团队奖
一等奖(1队)
20000奖学金( 每队 )
二等奖(3队)
10000奖学金( 每队 )
三等奖(8队)
5000奖学金( 每队 )
团队荣誉证书
(每人一份)
(每人一份)
个人奖
个人成绩排行榜TOP10,可获得美团实习机会及1000元美团卡
“小红花”宣传奖
完成“小红花”榜单上的指定宣传任务,集小红花兑换现金奖励(1朵小红花=5元现金)
注:更多关于“小红花”宣传奖的细则,
请点击了解
团队奖
第一名
10000奖学金
第二名
8000奖学金
第三名
5000奖学金
参赛战队每周提交漏洞总积分≥56,每周可领取即时奖金500元
团队荣誉证书
(每人一份)
(每人一份)
个人奖
第一名
10000元奖学金
第二名
7000元奖学金
第三名
5000元奖学金
第四名
3000元奖学金
第五名
1000元奖学金
个人荣誉证书/
美团实习机会
美团实习机会
比赛期间,所提交有效漏洞总量单人排名第一,可获得“漏洞数量之王”荣誉证书
比赛期间,所提交有效高危、严重漏洞总量单人排名第一,可获得“漏洞质量之王”荣誉证书
比赛期间,所提交有效漏洞中,有两个及以上被评为优质报告,可获得“漏洞报告之王”荣誉证书
小金卡
个人提交的漏洞满足以下条件:严重漏洞+高危漏洞≥3个,即可获得【小金卡】一张
【小金卡】权益:个人所提交的所有漏洞中,任选一个漏洞安全币翻一倍
推荐奖
每推荐一个新战队参加比赛,且推荐战队在比赛期间提交有效中危(及以上)漏洞≥2个,可获得500元推荐奖金
“小红花”宣传奖
完成“小红花”榜单上的指定宣传任务,集小红花兑换现金奖励(1朵小红花=5元现金)
注:更多关于推荐有奖及“小红花”宣传奖的细则,
请点击了解
主办单位
技术支持
-
MT-CTF赛QQ群:771757149
-
MT挖洞赛QQ群:909391549
-
美团安全应急响应中心
-
game@integritytech.com.cn
