# 10/22 會議紀錄 ## 題目難度 ### 難度衡量標準 :::success 難度衡量標準： * baby：與 MyFirstCTF 同等難度 * 易：AIS3 Pre-exam 裡大約 50～100 分的題目 * 中：AIS3 Pre-exam 裡大約 100～450 分的題目（神盾盃大概在這個難度（？） * 難：比前述還難的題目 ::: ### 難度分配 各類別 baby 或 易 至少 1 題 各類別 難 至少 1 題 #### 教學題 類似金盾，目前先看有沒有人要先負責，負責 - 需要在 Trello 標上 "教學題" - 分數 -> 動態 - 開提示扣總分 ## 考點 涵蓋到盡可能多的考點？ 不要有太多重複的 - Web - Crypto - Reverse - Pwn - Misc ## 題目分數 照 CTFd 的 dynamic，分數隨解題人數自動調整。 ## Flag 格式 `TSC{printable ascii+}`，若有例外則「需」於題目敘述中額外說明。 ## 驗題 ### 需驗的地方 1. 是否能正常的拿到 flag 2. 解題的人是否可幹壞事，包含 - 參賽者刪除 flag、放{假|ㄐㄧㄚˇ} flag、讓其他人拿不到 flag 等 - 讓 flag 是 read only - 參賽者利用題目的洞打到 infra 裡（如從 SSRF 打下 GCP） - 不要讓參賽者打到題目外 - **DoS (最容易發生)** - 利用題目漏洞塞爆硬碟、耗盡 CPU 等 - docker compose 可以限制 memory 跟 CPU - Captcha / Proof of work - 參賽者在打題目時，不能互相干擾到，若會干擾到則 - 每個人解題開專用的 instance ### 驗題方式 把題目放到 Trello 上，由其他人來驗 一題至少一個人驗，驗完在 card 裡紀錄 ### 驗題分配 - 讓大家認領 ## 題目敘述期限 1. 至少寫好題目敘述、Tags 2. SSH key deadline：11/12 ## 出題期限 在總籌之前出完題目 Soft deadline：12/17 ## 出題費 可以把題目數量拉高一點，之後再平分 ## 放題目在機器上 1. 要放在哪台機器？(有兩台) 2. port 要協調好 (盡量 10000+) ## Write-up - 要求參賽者交 - 防作弊 - 提供官方解 - 審題的時候順便寫 ## Infra - Instancer：需要能驗參賽者身分（CTFd Token） - 防 DoS：防止塞爆硬碟 - 須假設在 container 已經可以被 RCE 的情況下不會出事 - 之後收集好 ssh public keys 會送過去 - 收集在 Trello 裡面的 網管組 card