目录
-
-
- CTF简介:
- 一、CTF入门
-
- 1.1、CTF常识
- 1.2、CTF竞赛模式
- 二、CTF赛事发布网站
- 三、CTF在线靶场
- 四、漏洞靶场
- 五、CTF工具包
- 六、学习路线
-
CTF简介:
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式
-
CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的各种CTF杯),在职人员可以工作意外提升信安全技能。
-
渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。
一、CTF入门
最近很多朋友在后台私信我,问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;其次便是最好具备相应的编程能力,若是完全不具备这些能力极有可能直接被劝退。毕竟比赛的时候动不动写个脚本,搞个审计的。
✨零基础入门的小伙伴,可以看下方二维码,有学习路线和教程分享✨
废话结束
对于CTF入门,现在环境比15、16年我刚接触时好太多了,当年各类资源少的可怜,SQL注入绕WAF已经算是难题了。而目前国内的氛围明显好太多了,涌现出了大量优秀的平台。作为初学者往往会遇到一个很关键的问题:该学哪个方向?
个人感觉,在不知道学啥的事情可以先学学Misc培养兴趣,然后在不断的做题中思考自己感兴趣的方向。其次日后发展也是个很关键的事情,如果准备毕业后从事网络安全,那么就需要想好Web、Pwn这些方向的日后发展。可以干哪些岗位,而这些岗位需要的对应能力、发展空间、薪资等等。
1.1、CTF常识
**CTF比赛知识范围大致分为:**Web安全、PWN(二进制安全)、Reverse(逆向破解)、Crypto(密码学安全)、Forensics(数字取证)、Misc(杂项)
- Web安全
CTF中的Web题型,就是给定一个Web网站,选手要根据题目所提示的信息,找到网站上的flag字符串。做题的方法类似于渗透测试,但通常不会是一个完整的渗透测试,而是用到渗透测试中的某一个或某几个环节。
可能涉及信息搜集、各类漏洞发现与利用、权限提升等等。 为了获取flag,可能需要拿到管理员权限,数据库权限,甚至获取网站所在服务器的权限。
所需知识: 语言:PHP、Python、JavaScript… 数据库:MySQL、MSSQL… 服务器:Apache、Nginx… Web框架:ThinkPHP、Flask… 语言特性:弱类型、截断… 函数特性:is_numeric、strcmp等;
- PWN
PWN在安全领域中指的是通过二进制/系统调用等方式获得目标主机的 shell。CTF 中主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层 有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。
所需知识: C/C++编程语言基础、编译原理、汇编、反汇编、操作系统、加密与解密、堆栈原理、栈溢出、堆溢出…
- Reverse
CTF之REVERSE题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。需要掌握汇编,堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。
所需知识: 汇编、反汇编、堆栈、调试器、代码分析、OllyDBG、IDA等
- Crypto
CTF之CRYPTO部分题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术。
所需知识: 数学知识、密码编制、密码破解、古典密码、现代密码、密码分析;
- Forensics
CTF之FORENSICS包括文件格式分析,隐写术,内存转储分析或网络数据包捕获分析,提取静态数据文件中隐藏的信息的任何挑战都可以归为这一类
所需知识: 数据恢复、磁盘取证、内存取证、流量分析、文件隐写;
- Misc
就是除上述之外的乱七八糟的网络安全范围内的东西,英文全称为 Miscellaneous,意思是混杂的、各种各样的。MISC 题通 常包括文件分析、图像隐写、数据搜索、内存镜像分析和流量分析等。 题型多样,脑洞大,趣味性强是 MISC 题型的主要特点。
所需知识: 信息隐藏、文件格式、内存镜像、流量分析、数据分析、社会工程等;
1.2、CTF竞赛模式
- 解题模式(Jeopardy)
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛,选手自由组队(人数不受限制)。
题目主要包含六个类别:RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全和Misc安全杂项。
- 攻防模式(Attack-Defense)
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务来得分,通过修补自身服务洞进行防御来避免丢分。攻防模式通常为线下赛,参赛队伍人数有限制(通常为3到5人不等),可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负。
这是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
- 混合模式(Mix)
结合了解题模式与攻防模式的CTF赛制,主办方会根据比赛的时间、进度等因素来释放需解答的题目,题目的难度越大,解答完成后获取的分数越高。参赛队伍通过解题获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。
采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
二、CTF赛事发布网站
i春秋: https://www.ichunqiu.com/competition
XCTF社区:https://time.xctf.org.cn
CTFwiki(入门必看wiki): https://ctf-wiki.github.io/ctf-wiki/#/introduction
CTFrank: https://ctfrank.org/
CTFtime(基本都是国外的): https://ctftime.org
三、CTF在线靶场
1、BugkuCTF(经典靶场,难度适中,适合入门刷题,题量大)
https://ctf.bugku.com/
2、北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)
https://buuoj.cn/
3、CTFSHOW:(新靶场,题量大,很多大赛会从中抽原题)
https://ctf.show/challenges
4、XCTF攻防世界:
https://adworld.xctf.org.cn/task
上面4个靶场是我常去的,BugkuCTF很久以前就刷了一遍,BUUCTF刷了有70%,CTFSHOW最近一直在刷,XCTF攻防世界以前有内网渗透实验,现在主要上去刷CTF。
5、实验吧:
http://www.shiyanbar.com(2017年刷过一遍,目前站一直更新)
**6、安恒周周练:**https://www.linkedbyx.com/home
7、XSS专练:https://xss.haozi.me/tools/xss-encode/
8、南京邮电大学CTF网络攻防训练平台: http://ctf.nuptzj.cn/
9、网络信息安全实验平台 http://hackinglab.cn/index.php
四、漏洞靶场
1. DVWA(必练):Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护
http://www.dvwa.co.uk
2. Sqli-Labs(必练):一个印度大神程序员写的,用来学习sql注入的一个游戏教程,目前65关,冲关过程中学注入。
https://github.com/Audi-1/sqli-labs
3. Upload-labs(必练):一个和sqli-labs类似的靶场平台,专门学习文件上传的,目前21关。
https://github.com/c0ny1/upload-labs
4. BWVS(老版本bugku的离线版):
https://github.com/bugku/BWVS
5. BWAPP:
https://sourceforge.net/projects/bwapp
6. WAVSEP:
https://github.com/sectooladdict/wavsep
7. VulnStack:
http://vulnstack.qiyuanxuetang.net/vuln
8. Webug 3.0:
https://pan.baidu.com/s/1eRIB3Se
9. Metasploitable:
https://github.com/rapid7/metasploitable3
10. DVWA-WooYun:
https://sourceforge.net/projects/dvwa-wooyun
11. OWASP Mutillidae:
https://sourceforge.net/projects/mutillidae
12. Web for Pentester:
https://www.pentesterlab.com/exercises/web_for_pentester
五、CTF工具包
CTF大赛, 俗话说“兵马未动,粮草先行”。打CTF手里的武器工具少不了,CTF比赛有些线下赛,不提供互联网环境,这就更需要开战前把工具包准备好了。
工具包目录:
目录
- 一、行业需求:政策与技术双重驱动,人才缺口持续扩大
- 二、就业方向:从技术深耕到合规管理,路径多元
- 三、挑战与应对:如何提升竞争力
- 四、行动路线:大学生如何高效准备
-
- 💎 1、网络安全(黑客)学习路线
- 2、网络安全教程视频
- 3、网络安全CTF实战案例
- 4、网络安全面试题
- 结论:不仅是出路,更是时代机遇
如果你正在考虑网络安全这条路,我可以很肯定地告诉你—— 2025年网络安全不仅依然有出路,而且正处于需求爆发期,人才缺口巨大、薪资竞争力强、发展路径多元,是当前技术领域中前景最为明朗的方向之一。下面我会结合行业现状、政策背景、未来趋势以及个人发展建议,帮你梳理清楚这条路究竟值不值得走、该怎么走。
一、行业需求:政策与技术双重驱动,人才缺口持续扩大
政策红利持续释放
我国已明确将网络安全定位为国家战略,随着《网络安全法》《数据安全法》《个人信息保护法》等法规密集出台,企业合规需求激增。例如“等保2.0”要求所有信息系统必须通过安全测评,直接推动安全服务市场扩容。2025年国内网络安全市场规模预计超千亿,政策合规需求成为行业增长的刚性引擎。
技术迭代催生新岗位
数字化转型深入各领域,但伴随而来的是攻击面的扩大:
云原生安全:Kubernetes安全、零信任架构等技术岗位需求年增40%以上8;
AI安全:对抗性机器学习、联邦学习框架设计等方向人才缺口达95%,应届生起薪可达25万元/年;
工业互联网与物联网安全:车联网、工控系统(如电力、制造)防御专家年薪45-80万元,但人才储备严重不足。
供需失衡带来就业优势
据工信部预测,2025年我国网络安全人才缺口将达140万,而高校年培养量仅约3万人。初级安全工程师薪资普遍高于传统开发岗,3-5年经验者可晋升至安全架构师(年薪50万+)。这种供需矛盾意味着只要你具备扎实能力,不愁找不到高价值岗位。
二、就业方向:从技术深耕到合规管理,路径多元
网络安全领域岗位高度细分,可根据兴趣选择不同赛道:
岗位类型 / 核心职责 / 技能需求 / 发展前景
-
渗透测试/攻防 — 模拟黑客攻击、漏洞挖掘与修复 — Web安全、工具链(Burp Suite等)、协议分析 — 需求量大,实战导向强,3-5年可成专家
-
安全研发 — 开发防火墙、入侵检测等安全产品 — C/Python编程、系统底层、加密算法 — 技术壁垒高,薪资竞争力强
-
数据安全治理 — 数据分类分级、跨境合规实施 法律合规(GDPR、数据安全法)+ 技术实施 —政策驱动,金融/医疗领域年薪50-90万
-
安全运营/分析 — 监控威胁、应急响应、日志分析 SIEM工具、威胁情报、网络协议 —企业刚需,适合入门,晋升路径清晰
-
新兴领域:AI安全、云原生安全、物联网安全 —机器学习、K8s安全、车联网协议 —人才稀缺,薪资溢价显著(60-120万/年)
三、挑战与应对:如何提升竞争力
尽管前景广阔,但行业对人才能力的要求也在升级,需针对性突破以下瓶颈:
教育与实践脱节
57%高校教师缺乏企业级攻防经验,课程滞后于技术迭代。
建议:通过CTF竞赛(如Hack The Box)、开源项目(OWASP)、漏洞赏金平台(补天)积累实战经验,企业明确表示“动手能力比证书更重要”。
技术深度与广度平衡
企业要求“一专多能”:如渗透测试需既懂Web漏洞利用(SQL注入/XSS),又能分析协议底层(TCP/IP)。:先夯实网络/操作系统/编程基础,再聚焦1-2个方向(如Web安全或逆向工程)深耕。
品德与法规意识
网络安全涉及敏感数据,企业将“政治可靠、品德过硬”作为招聘红线。:在校期间可参与校企联合培养项目(如奇安信与高校共建的实验室),接触真实业务场景。
本文转自网络如有侵权,请联系删除。
题外话
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习路线&学习资源
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
需要高清完整学习路线图,和全套网络安全技术教程的小伙伴!
↓↓↓ 扫描下方图片即可前往获取↓↓↓
如果二维码失效,可以点击下方👇链接去拿,一样的哦
【CSDN大礼包】最新网络安全/网安技术资料包~282G!无偿分享!!!
1.从0到进阶主流攻防技术视频教程(包含红蓝对抗、CTF、HW等技术点)
2.入门必看攻防技术书籍pdf(书面上的技术书籍确实太多了,这些是我精选出来的,还有很多不在图里)
3.安装包/源码
主要攻防会涉及到的工具安装包和项目源码(防止你看到这连基础的工具都还没有)
4.面试试题/经验
网络安全岗位面试经验总结(谁学技术不是为了赚$呢,找个好的岗位很重要)
😝需要的话,可以V扫描下方二维码联系领取~
如果二维码失效,可以点击下方👇链接去拿,一样的哦
扫一扫
4200
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
