HKIRC 2025 CTF (網絡攻防精英培訓暨攻防大賽 2025) 後感

前言

香港《網絡攻防精英培訓暨攻防大賽2025》是由 香港互聯網註冊管理有限公司 (HKIRC) 主辦之網絡安全奪旗(Capture the flag, CTF)比賽。

本人有幸參加初賽的線上比賽及決賽的實地比賽, 但發現各種問題根本目不忍視。

在下亦於香港有幸曾參與舉辦大型網絡安全奪旗比賽, 在這方面耕耘超過六年, 雖非有什麼功績, 但作為網絡安全行業的一份子, 有見此情此景, 實在不吐不快。

下文將列出各種問題, 有望主辦單位三思。

問題總覽

1. 線上題目比賽涉嫌抄襲
2. 題目類型只有一類
3. 線下比賽模式有掛羊頭賣狗肉之嫌

線上比賽涉嫌抄襲

線上比賽涉嫌抄襲各內地各大比賽題目, 望主辦單位正視。

雖然明白題目創作難有新意, 或者可能有出資購買題目, 但作為公開比賽直接完全照抄實令人側目。

以下是在下略為搜尋所找出嫌抄襲各內地各大比賽的題目, 如有更多歡迎告知在下。

1. break

實為第十七届全国大学生信息安全竞赛 华东北分区赛 Web題目break。

Source: 第十七届全国大学生信息安全竞赛 华东北分区赛 Writeup by X1cT34m

100%完成一致, 連註釋都一樣。

2. ez_upload

實為c0ny1的upload-lab Pass-04, 又連註釋都一樣。

Source: upload-labs by c0ny1

3. happy

本次改了一些字, 沒100%, 都99%了。

實為Bugku-CTF 2024 - 兔年大吉2（PHP反序列化）。

Source: Bugku-CTF-兔年大吉2（PHP反序列化）

題目類型只有一類 - Web

是次比賽不論線上或線下所有題目類型只有web即網站攻擊類, AWD plus賽制雖有一定限制, 但只有一類何談”網絡攻防”? 何談”網絡安全”?

在下建議應加入更多類別, 例如:

• PWN(二進制漏洞及逆向工程攻防)
• AI Prompt(LLM人工智能提示詞攻防)
• BlockChain(區塊鏈攻防)
• Crypto(密碼學攻防)…等等。

線下比賽模式有掛羊頭賣狗肉之嫌

線下比賽根本不是所謂AWDP, 只有一輪計分, 及有一、二、三血加分。

根本就是另類解題Jeopardy, 沒有輪次計算SLA分數(服務水平協議), 何談是AWD?

另外實體比賽開賽前15分鐘前才更新比賽規則指不可使用AI協助, 應提早公告吧, 不應當時才說。

後記

對於是次比賽, 鄙人心表失望及遺憾。

更對於是次技術支援(即天XX)更為失望, 隨便的東西就不應登大雅之堂, 如同胡弄各方人士。

香港於網絡安全業界有很多有志有能之士, 不乏世界級人才。
(在下只是庸才, 但見到行內不乏”超班馬”)

所以建議主辦方應該給予更多機會於本港有志有能之士加入去提升香港網絡安全水平。