1、CTF是什么?
CTF(Capture The Flag,夺旗赛)起源于 1996 年 DEFCON 全球大会,是网络安全爱好者之间的竞技游戏。
2、比赛怎么打?
1、解题模式:
与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间来排名。
题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别
2、攻防模式(Attack-Defense):
参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。
这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
3、混合模式(mix):
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
3、题目类别
1、WEB(网络安全):
诸如XSS、文件包含、代码执行、上传漏洞、SQL注入。也有一些简单的例如返回包、TCP-IP、数据包内容和构造。可以说题目环境比较接近真实环境。
所需知识:PHP、python、TCP-IP、SQL
2、MISC(安全杂项):
MISC即安全杂项,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。
所需知识:常见隐写术工具、wireshark等流量审查工具、编码知识。
3、Crypto(密码学):
察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见编码解码,主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
所需知识:矩阵、数论、古典密码学
4、Reverse(逆向工程):
软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。
所需知识:汇编语言、加密与解密、常见反编译工具
5、PPC(编程类题目):
程序编写、编程算法实现,当然PPC相比ACM来说,还是较为容易的。至于编程语言嘛,推荐使用Python来尝试。题目较少,一般与其他类型相结合。
所需知识:基本编程思路、C,C++,Python,php皆可。
6、PWN(二进制安全):
PWN在俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。主要考察参数选手对漏洞的利用能力。
所需知识:C,OD+IDA,数据结构,操作系统。
4、国内外赛事
1、国外:
DEFCON CTF :"世界杯"
UCSB iCTF:面向世界高校
Plaid CTF:包揽多项赛事冠军的CMU的PPP团队
Boston Key Party:近年来崛起的在线解题赛
Codegate CTF:韩国首尔"大奖赛",冠军奖金3000万韩元
Secuinside CTF:韩国首尔"大奖赛",冠军奖金3000万韩元
XXC3 CTF:欧洲历史最悠久CCC大会举办的CTF
SIGINT CTF:德国CCCAC协会另一场解题模式竞赛
Hack.lu CTF:卢森堡会议同期举办的CTF
EBCTF:荷兰老牌强队Eindbazen组织的在线解题赛
Ghost in the Shellcode:由Marauders和Men
in Black Hats共同组织的在线解题赛
RwthCTF:由德国0ldEur0pe组织的在线攻防赛
RuCTF:由俄罗斯Hackerdom组织,解题模式资格赛面向全球参赛,解题攻防混合模式的决赛面向俄罗斯队伍的国家级竞赛[2]
RuCTFe:由俄罗斯Hackerdom组织面向全球参赛队伍的在线攻防赛
PHD CTF:俄罗斯Positive Hacking Day会议同期举办的CTF
2、国内
XCTF全国联赛:中国网络空间安全协会竞评演练工作组主办、南京赛宁承办的全国性网络安全赛事平台,2014-2015赛季五站选拔赛分别由清华、上交、浙大、杭电和成信技术团队组织(包括杭电HCTF、成信SCTF、清华BCTF、上交0CTF和浙大ACTF),XCTF联赛总决赛由蓝莲花战队组织。XCTF联赛是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
AliCTF:由阿里巴巴公司组织,面向在校学生的CTF竞赛,冠军奖金10万元加BlackHat全程费用。
XDCTF:由西安电子科技大学信息安全协会组织的CTF竞赛,其特点是偏向于渗透实战经验。
HCTF:由杭州电子科技大学信息安全协会承办组织的CTF
ISCC:由北理工组织的传统网络安全竞赛,最近两年逐渐转向CTF赛制。
TCTF:TCTF由中国网络空间安全协会竞评演练工作委员会指导、腾讯安全发起、腾讯安全联合实验室主办,0ops战队和北京邮电大学协办的CTF竞赛.
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做"正向"的、结合"业务"与"数据"、"自动化"的"体系、建设",才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
