美团网络安全高校挑战赛

比赛背景

“第三届美团网络安全高校挑战赛”是由美团安全应急响应中心（MTSRC）与美团校园招聘团队联合发起，面向国内外各院校大学生举办的网络安全比赛。本届比赛为“双赛并行”模式，根据赛制形式不同，将划分为“MT-CTF”赛场、“MT挖洞赛”赛场，参赛学生可自行选择参加两场或其中任意一场。

赛程时间：

“MT-CTF”赛场
报名启动  4月20日 10:00 - 5月20日 10:00
线上初赛  5月23日 9:00 - 21:00
线上决赛  5月30日 10:00 - 18:00
发榜颁奖  6月10日

“MT挖洞赛”赛场
报名启动  4月20日 10:00 - 5月27日 10:00
开赛  4月26日 10:00 - 5月28日 18:00
发榜颁奖  6月4日

参赛对象：

在读大学生/研究生，不限专业与院校

赛道介绍：

“MT-CTF”赛场

比赛形式：
初赛：初赛采用线上CTF团队赛的形式，比赛时长12小时。
决赛：决赛采用线上CTF个人赛的形式，比赛时长8小时。

答题范围：
初赛：考题范围包括Web 漏洞与渗透(Web)，软件逆向 (Reverse Engineering)，二进制漏洞挖掘和利用(Pwn)，密码（Crypto）学与杂项（Misc）五大类型。
决赛：考题范围包括Web 漏洞与渗透(Web)，软件逆向 (Reverse Engineering)，二进制漏洞挖掘和利用(Pwn)，密码（Crypto）学与杂项（Misc）五大类型。

积分规则：
初赛：比赛采用国际上惯用的动态计分模式（题目分值随解对题目人数增多而动态递减），参赛队伍通过提交正确flag从而得到对应的分值，最终按照积分高低和提交flag时间进行排名。
决赛：比赛采用国际上惯用的动态计分模式（题目分值随解对题目人数增多而动态递减），参赛选手通过提交正确flag从而得到对应的分值，最终按照积分高低和提交flag时间进行排名。

晋级规则：
初赛：最终，积分总榜排名前十二的队伍晋级决赛。
决赛：
个人：决赛将会对每个选手的累计答题得分进行个人排行，其中个人排行TOP10将获得个人奖。
团队：战队内所有选手累计答题的分数（战队内相同题目分数只计算一次）进行团队排行，争夺一、二、三等奖。

“MT挖洞赛”赛场

比赛说明：
参赛方式：以队伍为单位报名，可跨校组队（1人≤队伍人数）。比赛期间，参赛者线上提交漏洞至MTSRC官网：https://security.meituan.com，并按平台积分规则获得对应个人及团队积分，计入成绩榜；比赛结束后，个人积分榜排行前五的选手，以及团队积分榜排行榜前三的战队可获得现金奖励和荣誉奖励。
注：漏洞报告提交格式为【高校挑战赛-战队名称】+漏洞标题，如标题不符合格式将无法记分。

注意事项：
1.进行测试请避开业务操作高峰期（工作日 9:00 - 18:00），避免影响真实用户的正常使用；
2.当发现入侵类风险后需周知美团，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；
3.禁止邮件钓鱼社工；
4.测试使用的非美团普通用户账号，需说明账号来源，不明来源的账号视为违规盗用或借用；
5.测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；
6.测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；
7.获取网站的权限时，禁止修改代码文件或植入后门等操作；
8.禁止用扫描器或其他自动化工具，只允许手工测试；
9.参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；
10.须知：单个系统只收取前三个相同类型的漏洞；

风险规避：
1.测试过程不得损害业务正常运行。不得以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为；
2.禁止盗用或借用管理账号、内部账号进行测试；
3.禁止进行内网渗透行为，如内网扫描、主机提权的行为；
4.禁止进行网络拒绝服务（DoS 或DDoS）测试；
5.严禁下载源代码。若在不知情情况下下载，应及时告知厂商并删除；
6.测试短信炸弹漏洞时，请填写自己的手机号，严禁对其他用户号码进行轰炸测试；
7.测试SQL注入、越权读取数据类漏洞时，应采取手工注入，且获取的数据量不能超过10组；
8.禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试；
9.测试验证越权增删查改时，请自行注册两个测试账号进行测试。务必控制测试范围，不得危害系统正常数据；
10.我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害美团系统及用户的利益的攻击行为，我们保留追究法律责任的权利。

违规处理说明：
1.在测试中，若发现测试人员存在上述禁止的行为，首次发现：所涉及的漏洞积分及相关奖励不予发放；再次发现：涉及测试人员的漏洞积分及相关奖励不予发放并不得继续参与测试。
2.安全测试中，因违规测试行为造成业务损失，美团SRC保留追究法律责任的权利。

赛事奖励：

“MT-CTF”赛场
团队奖：
一等奖（1队） 20000奖学金( 每队 )+团队荣誉证书（每人一份）
二等奖（3队） 10000奖学金( 每队 )+团队荣誉证书（每人一份）
三等奖（8队） 5000奖学金( 每队 )+团队荣誉证书（每人一份）
个人奖：个人成绩排行榜TOP10，可获得美团实习机会及1000元美团卡
“小红花”宣传奖：完成“小红花”榜单上的指定宣传任务，集小红花兑换现金奖励（1朵小红花=5元现金）

“MT挖洞赛”赛场
团队奖：
第一名 10000奖学金+团队荣誉证书（每人一份）
第二名 8000奖学金+团队荣誉证书（每人一份）
第三名 5000奖学金+团队荣誉证书（每人一份）
参赛战队每周提交漏洞总积分≥56,每周可领取即时奖金500元

个人奖：
第一名 10000元奖学金+个人荣誉证书/美团实习机会
第二名 7000元奖学金+个人荣誉证书/美团实习机会
第三名 5000元奖学金+个人荣誉证书/美团实习机会
第四名 3000元奖学金+个人荣誉证书/美团实习机会
第五名 1000元奖学金+个人荣誉证书/美团实习机会

比赛期间，所提交有效漏洞总量单人排名第一，可获得“漏洞数量之王”荣誉证书；
比赛期间，所提交有效高危、严重漏洞总量单人排名第一，可获得“漏洞质量之王”荣誉证书；
比赛期间，所提交有效漏洞中，有两个及以上被评为优质报告，可获得“漏洞报告之王”荣誉证书

小金卡：
个人提交的漏洞满足以下条件：严重漏洞+高危漏洞≥3个，即可获得【小金卡】一张
【小金卡】权益：个人所提交的所有漏洞中，任选一个漏洞安全币翻一倍

推荐奖：每推荐一个新战队参加比赛，且推荐战队在比赛期间提交有效中危（及以上）漏洞≥2个，可获得500元推荐奖金
“小红花”宣传奖：完成“小红花”榜单上的指定宣传任务，集小红花兑换现金奖励（1朵小红花=5元现金）