福建省第一届"闽盾杯"网络安全职业技能竞赛 --- 备赛学习路线
竞赛信息:理论成绩占20%(选择题)+ CTF实操占80%(夺旗赛模式)
初赛时间:2026年7月15日 | 决赛时间:2026年8月中下旬
竞赛标准:依据国家职业技能标准高级工(三级)相关要求
目录
一、备赛总览
6周备赛时间线:
第1-2周 ████████░░░░░░░░░░░░ 基础入门:Linux/网络/工具基础
第3-4周 ░░░░░░░░████████░░░░ 方向攻坚:Web + Misc + Crypto
第5周 ░░░░░░░░░░░░░░████░░ 真题实战:历年真题 + 平台比赛
第6周 ░░░░░░░░░░░░░░░░████ 冲刺模拟:限时模拟 + 查漏补缺
时间分配原则:CTF实操(80%精力)> 理论知识(20%精力)
方向优先级:Web安全 > Misc杂项 > 密码学 > 逆向工程 > PWN二进制
二、阶段一:基础入门(第1-2周)
第1周:环境搭建与基础技能
Day 1-2:环境准备
Day 3-4:Linux基础
练习平台 :OverTheWire Bandit --- 以游戏方式学习Linux命令
Day 5-7:计算机网络基础
第2周:安全工具入门
Day 1-3:Burp Suite(Web安全核心工具)
Day 4-5:Python脚本基础
Day 6-7:CTF入门体验
三、阶段二:CTF方向攻坚(第3-4周)
Web安全(重点方向,投入50%时间)
Week 3:Web基础漏洞
| 天数 |
专题 |
学习内容 |
练习平台 |
| Day 1 |
SQL注入基础 |
联合注入、报错注入、布尔盲注、时间盲注 |
SQLi-Labs、CTFHub |
| Day 2 |
SQL注入进阶 |
绕过技巧(过滤空格、注释、关键字)、宽字节注入 |
CTFShow、BUUCTF |
| Day 3 |
XSS攻击 |
反射型XSS、存储型XSS、DOM型XSS、Cookie窃取 |
CTFHub、BugKu |
| Day 4 |
文件上传 |
后缀绕过、Content-Type绕过、图片马、.htaccess |
CTFHub、攻防世界 |
| Day 5 |
文件包含 |
本地包含(LFI)、远程包含(RFI)、PHP伪协议 |
CTFShow、BUUCTF |
| Day 6 |
命令执行 |
代码执行(RCE)、命令拼接绕过、反弹Shell |
CTFHub、攻防世界 |
| Day 7 |
阶段复盘 |
整理笔记、重做错题、总结绕过思路 |
--- |
Week 4:Web进阶漏洞
| 天数 |
专题 |
学习内容 |
练习平台 |
| Day 1 |
PHP反序列化 |
序列化/反序列化原理、魔术方法利用、POP链构造 |
CTFShow、BUUCTF |
| Day 2 |
SSTI模板注入 |
Jinja2、Twig模板注入、沙箱逃逸 |
CTFHub、攻防世界 |
| Day 3 |
SSRF服务端请求伪造 |
内网探测、协议利用(gopher/dict/file) |
CTFShow、BUUCTF |
| Day 4 |
CSRF与逻辑漏洞 |
越权访问、密码重置绕过、支付逻辑漏洞 |
CTFHub、BugKu |
| Day 5 |
信息泄露与配置缺陷 |
.git泄露、.svn泄露、目录遍历、备份文件 |
CTFHub、攻防世界 |
| Day 6 |
综合练习 |
多漏洞组合利用、真实赛题练习 |
BUUCTF、攻防世界 |
| Day 7 |
Web方向总结 |
整理漏洞利用checklist、工具使用技巧 |
--- |
Misc杂项(投入25%时间)
与Web同步学习,每天抽1-2小时
| 专题 |
学习内容 |
练习平台 |
| 编码解码 |
Base64/32/16、Hex、URL编码、Unicode、摩尔斯电码 |
CTFHub、CyberChef |
| 图片隐写 |
文件头修复、LSB隐写、图片拼接、EXIF信息 |
StegSolve、CTFHub |
| 压缩包 |
伪加密、暴力破解、压缩包密码、嵌套压缩 |
BUUCTF、CTFShow |
| 流量分析 |
HTTP流量分析、TCP流追踪、数据提取 |
Wireshark、BUUCTF |
| 文件取证 |
文件类型识别(文件头魔数)、内存取证基础 |
CTFHub、攻防世界 |
密码学(投入15%时间)
| 专题 |
学习内容 |
练习平台 |
| 古典密码 |
凯撒密码、维吉尼亚密码、栅栏密码、培根密码 |
CTFHub、CryptoHack |
| 编码识别 |
Base家族、ASCII、ROT13 |
CyberChef |
| RSA基础 |
RSA原理、模数分解、小公钥指数攻击 |
CryptoHack、BUUCTF |
| 对称加密 |
AES/DES基础、ECB/CBC模式、Padding Oracle |
CryptoHack |
逆向工程(投入10%时间,有余力再学)
| 专题 |
学习内容 |
工具 |
| 静态分析 |
识别程序逻辑、字符串分析、流程图阅读 |
IDA Pro / Ghidra |
| 动态调试 |
断点调试、寄存器查看、内存修改 |
x64dbg / GDB |
| 简单逆向 |
简单算法还原、密码比对绕过 |
CTFHub入门题 |
四、阶段三:真题实战(第5周)
目标:在真实比赛环境中检验能力
| 天数 |
任务 |
平台 |
| Day 1-2 |
攻防世界刷历年省赛/国赛Web真题 |
攻防世界 |
| Day 3 |
攻防世界刷Misc真题 |
攻防世界 |
| Day 4 |
BUUCTF刷密码学真题 |
BUUCTF |
| Day 5 |
参加一场线上CTF比赛(CTFHub/NSSCTF周赛) |
CTFHub |
| Day 6 |
复盘比赛题目,阅读他人Writeup |
各平台 |
| Day 7 |
整理错题本,标记薄弱环节 |
--- |
关键:每道题都要写自己的Writeup,记录解题思路和用到的知识点。
五、阶段四:冲刺模拟(第6周)
目标:模拟比赛节奏,查漏补缺
| 天数 |
任务 |
| Day 1 |
限时3小时模拟CTF(从BUUCTF选10道混合题型) |
| Day 2 |
复盘模拟,针对薄弱点专项突破 |
| Day 3 |
理论知识集中复习(网络安全选择题) |
| Day 4 |
再做一次限时模拟(难度接近真实比赛) |
| Day 5 |
工具使用速查表整理、常用脚本准备 |
| Day 6 |
休息调整,轻度刷题保持手感 |
| Day 7 |
比赛当天:心态平稳,先做签到题拿基础分 |
比赛策略:
- 先扫所有题目,标记难度
- 优先做签到题和简单题,确保基础分
- 再攻中等题,最后挑战难题
- 遇到卡壳及时换题,不要死磕
六、理论知识备考路线
理论占20%,选择题形式,依据国家职业技能标准高级工(三级)
知识范围
| 模块 |
主要内容 |
| 网络安全基础 |
安全概念、安全等级保护、风险评估 |
| 网络协议安全 |
TCP/IP安全、HTTPS、VPN、防火墙 |
| 密码学基础 |
对称/非对称加密、哈希算法、数字签名、PKI |
| 操作系统安全 |
Linux/Windows安全配置、权限管理、日志审计 |
| Web安全 |
OWASP Top 10、SQL注入、XSS、CSRF |
| 恶意代码 |
病毒/木马/蠕虫特征、检测与防范 |
| 数据安全 |
数据备份、加密存储、数据泄露防护 |
| 法律法规 |
《网络安全法》《数据安全法》《个人信息保护法》 |
| 应急响应 |
安全事件分类、应急流程、取证基础 |
备考方法
- 通读《网络与信息安全管理员》国家职业技能标准三级要求
- 在i春秋、安全脉搏等平台刷理论选择题
- 关注福建省委网信办网站发布的技术文件
- 整理错题,反复练习
七、CTF各方向详细学习路线
Web安全学习路线图
入门
│
├── HTTP基础 → Burp Suite使用 → 信息收集
│
├── SQL注入 ──────→ 联合注入 → 报错注入 → 盲注 → 绕过技巧
│
├── XSS ──────────→ 反射型 → 存储型 → DOM型 → CSRF
│
├── 文件上传 ─────→ 后缀绕过 → 内容绕过 → 图片马 → .htaccess
│
├── 文件包含 ─────→ LFI → RFI → PHP伪协议 → 日志包含
│
├── 命令执行 ─────→ 系统命令 → 代码执行 → 绕过 → 反弹Shell
│
├── 反序列化 ─────→ PHP序列化 → 魔术方法 → POP链 → Phar反序列化
│
├── SSTI ─────────→ 模板识别 → Jinja2 → Twig → 沙箱逃逸
│
└── SSRF ─────────→ 内网探测 → 协议利用 → Redis未授权 → 组合利用
Misc杂项学习路线图
入门
│
├── 编码解码 ──→ Base64/32/16 → Hex → URL → Unicode → 摩尔斯
│
├── 图片隐写 ──→ 文件头修复 → LSB隐写 → 图片拼接 → EXIF → 盲水印
│
├── 压缩包 ────→ 伪加密 → 暴力破解 → 嵌套压缩 → ZIP明文攻击
│
├── 流量分析 ──→ HTTP流量 → TCP流追踪 → 数据提取 → USB流量
│
└── 文件取证 ──→ 文件类型识别 → 内存取证 → 磁盘取证
密码学学习路线图
入门
│
├── 古典密码 ──→ 凯撒 → 维吉尼亚 → 栅栏 → 培根 → 摩尔斯
│
├── 编码识别 ──→ Base家族 → ASCII → ROT13 → URL编码
│
├── RSA基础 ──→ 原理理解 → 模数分解 → 小公钥指数 → 共模攻击
│
└── 对称加密 ──→ AES/DES → ECB/CBC → Padding Oracle
八、必备工具清单
Web安全工具
| 工具 |
用途 |
安装方式 |
| Burp Suite |
抓包、改包、扫描、爆破 |
Kali自带 / 社区版下载 |
| SQLMap |
自动化SQL注入 |
Kali自带 |
| dirsearch / gobuster |
目录扫描 |
pip install / apt |
| hydra |
暴力破解 |
Kali自带 |
| AntSword |
中国蚁剑(WebShell管理) |
GitHub下载 |
| Browser DevTools |
浏览器开发者工具 |
Chrome/Firefox内置 |
Misc工具
| 工具 |
用途 |
安装方式 |
| Wireshark |
流量分析 |
Kali自带 |
| StegSolve |
图片隐写分析 |
Java程序 |
| CyberChef |
编解码瑞士军刀 |
在线使用 |
| Binwalk |
固件/文件分析 |
Kali自带 |
| foremost |
文件恢复 |
Kali自带 |
| 010 Editor |
十六进制编辑 |
官网下载 |
| zsteg |
PNG隐写检测 |
gem install |
| John the Ripper |
密码破解 |
Kali自带 |
| fcrackzip |
ZIP密码破解 |
Kali自带 |
逆向工具
| 工具 |
用途 |
安装方式 |
| IDA Pro |
静态反汇编/反编译 |
官网下载 |
| Ghidra |
开源逆向框架(IDA替代) |
NSA开源 |
| x64dbg |
Windows动态调试 |
官网下载 |
| GDB + pwndbg |
Linux动态调试 |
apt install |
| apktool |
APK逆向 |
apt install |
| jadx |
Android反编译 |
GitHub下载 |
通用工具
九、刷题平台汇总
国内CTF平台(主力刷题)
国际CTF平台(进阶提升)
手机APP
| APP |
平台 |
用途 |
| CTFHub |
iOS/Android |
随时刷CTF题 |
| 刷刷题 |
iOS/Android |
理论选择题,支持导入题库 |
| TryHackMe |
iOS/Android |
移动端学习网安 |
十、闽盾系列赛事与活动
除了"闽盾杯"网络安全职业技能竞赛外,福建省还围绕"闽盾"品牌打造了系列赛事、讲座和培训活动,是备赛和学习的重要资源。
10.1 闽盾杯系列赛事
| 赛事名称 |
面向对象 |
比赛形式 |
主办单位 |
| 闽盾杯网络安全职业技能竞赛 |
从业人员(在职) |
理论20% + CTF实操80% |
省委网信办、省人社厅、省总工会、团省委 |
| 闽盾杯网络空间安全大赛(黑盾全国大学生赛道) |
全国高校在校生 |
线上CTF初赛 + 线下攻防决赛 |
省委网信办、省教育厅、省公安厅、省通信管理局 |
黑盾大学生赛道要点:
- 已举办六届,参赛规模逐年扩大(第五届吸引全国25省181所高校490支队伍近1500人参赛)
- 赛题方向:Web渗透、Misc杂项、RE逆向、PWN二进制、Crypto密码学、信创国产化
- 设有赛前培训(线上直播),内容涵盖基础理论、脚本编写、常用工具、解题思路、实操训练
- 官方网站:heidunbei.si.net.cn
- 官方QQ群:676547374 或 566180594
10.2 闽盾大讲堂
福建省网络安全大讲堂暨"闽盾大讲堂",由省委网信办主办、省网络与信息安全测评中心承办、闽盾公司协办,自2025年起定期组织开展。
讲堂定位:
- 宣传解读网络空间安全领域政策法规
- 推广普及互联网新技术新应用
- 推动全省网络安全教育、技术、产业深度融合发展
- 提升全民网络和数据安全意识
历期主题:
| 期数 |
时间 |
主题内容 |
| 第1期 |
2025年3月 |
《网络数据安全管理条例》解读与数据安全合规体系建设 |
| 第4期 |
2025年12月 |
(往期主题详见福建网信网) |
| 第5期 |
2026年3月 |
新修订《网络安全法》《网络安全事件报告管理办法》解读、合规访问境外互联网指引 |
参与方式:
- 关注福建省委网信办网站:fjwx.gov.cn
- 关注"网信福建"微信公众号获取最新通知
- 省直党政机关、重点企事业单位、各地网信办等单位可派员参加
10.3 闽盾网络安全应急演练培训
| 培训项目 |
内容 |
组织方式 |
| 闽盾网络安全应急演练实操培训班 |
网络安全意识、行业形势、应急演练、等级保护 |
各地市网信办主办,电信等运营商承办 |
培训特点:
- 聚焦实操,包含应急演练和等级保护实操
- 覆盖市直重点单位业务骨干
- 培训合格颁发结业证书
10.4 闽盾青锋宣讲团
福建师范大学计算机与网络空间安全学院"闽盾青锋"网络强国宣讲团,面向青少年开展网络安全科普活动。
活动形式:
- 线上线下联动,走进中小学开展AI安全科普课
- 内容涵盖:人工智能应用与安全风险、深度伪造防范、隐私保护、信息辨别方法
- 发放网络安全宣传手册
10.5 关注渠道汇总
十一、学习资源推荐
书籍
| 书名 |
方向 |
适合阶段 |
| 《Web安全深度剖析》 |
Web安全 |
入门 |
| 《白帽子讲Web安全》 |
Web安全 |
入门 |
| 《Web安全攻防:渗透测试实战指南》 |
Web安全 |
进阶 |
| 《CTF特训营:技术详解、解题方法与实践》 |
CTF综合 |
入门-进阶 |
| 《密码学原理与实践》 |
密码学 |
进阶 |
| 《逆向工程核心原理》 |
逆向 |
入门 |
在线资源
视频教程
| 平台 |
推荐内容 |
| B站 |
搜索"CTF入门"、"Web安全"、"Burp Suite教程" |
| CTFHub |
配套视频教程 |
| 合天网安 |
系统化课程 |
| TryHackMe |
交互式学习路径 |
附录:每日学习计划模板
┌─────────────────────────────────────────────┐
│ 每日学习计划(建议4-6小时) │
├─────────────────────────────────────────────┤
│ │
│ 09:00-10:30 Web安全专题学习(1.5h) │
│ - 看教程/视频 │
│ - 靶场实操练习 │
│ │
│ 10:45-12:00 CTF刷题(1h15min) │
│ - 按方向刷3-5道题 │
│ - 写Writeup记录 │
│ │
│ 14:00-15:00 Misc/密码学学习(1h) │
│ - 学习新知识点 │
│ - 对应题目练习 │
│ │
│ 15:15-16:30 真题实战(1h15min) │
│ - 攻防世界/BUUCTF刷真题 │
│ │
│ 16:45-17:30 理论知识复习(45min) │
│ - 刷选择题 │
│ - 整理笔记 │
│ │
│ 晚上 复盘总结 │
│ - 整理当天Writeup │
│ - 标记薄弱环节 │
│ - 规划明日任务 │
│ │
└─────────────────────────────────────────────┘