HarmonyOS鸿蒙最新CTF设计的七个经验教训(1),滴滴 战略 面试

最新推荐文章于 2024-10-01 17:42:46 发布
最新推荐文章于 2024-10-01 17:42:46 发布
阅读量573 收藏 18
点赞数 18
分类专栏: 程序员 文章标签: 鸿蒙 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84872530/article/details/138647729
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

Hwong指出,在运营方面,CTF设计者还必须积极促进组织者和参赛者之间的持续沟通。

四、

难度分级和评分系统

Hwong警告说,CTF组织者往往会低估赛题难度级别设定及开发公平评分系统的困难程度。在实际比赛中,Hwong的团队设计的一些看似简单的关卡实际上难度很大,而一些看上去很难的赛题的成功完成者数量却比预期得多。

CTF的另一个挑战是找出一个有意义的评分系统。基于DEF CON的实操经验,Hwong推荐使用钟形曲线评分系统。还有一个问题是如何规范和平衡大型CTF团队在获得挑战点方面的优势。

“如果一个战队人数较多,挑战任务可以拆分由多个队员并行完成。如果你的团队有10个人,速度就会提高10倍。所以人数绝对是一个优势,”Whong指出:“我们需要某种动态评分来稍微平衡一下。”

一种选择是让挑战连续进行,但其缺点是可能会使CTF过于僵化和线性,并且可能会产生瓶颈或依赖关系,从而破坏一个或多个赛事。Hwong表示,他还希望看到更多的CTF对参与者的技术进行奖励,例如在环境中的秘密行动能力(是否留下太多脚印和指纹)。

五、

蓝队更看中CTF的实用性

Hwong认为普通的CTF已经不足以吸引蓝队参与挑战。

“蓝队演习往往是这样的:‘我们的环境有配置错误,存在很多漏洞。你能修复它们吗?’”Hwong说:“蓝队所做的只是测试这些配置是否被更改,或者红队是否可以访问某个公共存储桶。一旦将其离线,就意味着蓝队修复了漏洞并获得积分。

对蓝队来说,实用性更强,更贴近实战的挑战是这样的:红队已经成功进入环境,蓝队必须找到他们并将他们踢出环境。或者,检测到正在发生事件,红队已经获得账号凭据。此场景中,蓝队只有注销攻击者的访问权限才有机会获得最高分。”

Hwong指出,这些CTF场景更难实现,但对于防御者来说更真实,也更有价值。

六、

CTF需要更多新鲜组件

Hwong呼吁CTF设计者在CTF赛题中引入更多新漏洞利用和漏洞信息。这是Hwong在第一次参加DEF CON Cloud Village时强调的问题,他决心在明年的CTF大赛中改进这一点。

“这是把CTF变成实用的学习和培训工具的一个关键举措,”Hwong解释道:“我们很乐意使用研究人员的最新成果、甚至包括在当界DEF CON上提出的相关漏洞利用方法和成果。”

七、

通过模块化开发提高可复用性

最后,Hwong透露他汲取的最大教训之一是,业界需要找到更多方法来为CTF开发可重用组件,就像软件开发人员为应用程序所做的那样。Hwong梦想建设一个开放的GitHub存储库,其中包含CTF代码,作为开发CTF的基础模块。

“CTF开发模块支持定制,能够省去60%的重复工作,这样CTF组织者和设计者就可以专注于真正的创新工作,例如添加新技术、场景和故事情节。”

参考链接:

https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!


img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上鸿蒙开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以戳这里获取

2401_84872530
关注
专栏目录
渗透必备:使用Proxifier玩转代理,一个HarmonyOS鸿蒙程序员的面试心得
2301_77110912的博客
04-14 1038
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…这篇文章的相关姿势,也是我自己在日常的渗透测试过程中,逐渐摸索出来的,在直播的时候,有师傅希望我能写一篇相关的文章整理一下,便有了本文。
一款强大的密码字典生成工具,蚂蚁金服HarmonyOS鸿蒙面试
pasehelpme的博客
04-17 799
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。(都打包成一块的了,不能一一展开,总共300多集)
Ctftool:CTF漏洞利用工具
weixin_43977912的博客
04-28 1715
Ctftool是一款交互式的命令行工具,可以帮助安全研究人员对CTF(Windows平台下用于实现文本服务的协议)进行安全测试。在Ctftool的帮助下,安全研究人员可以轻松对Windows内部运行和调试文本输入处理器的复杂问题进行分析,并检测目标Windows系统的安全性。 除此之外,Ctftool还允许研究人员根据自己的需要来编写一些简单的脚本来实现与CTF客户端或服务器端的自动化交互,以及执行简单的模糊测试任务。 工具下载 广大研究人员可以使用下列命令将项目源码克隆至本地: git clone htt
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 982
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
【2024最新版】暴力提升CTF比赛成绩必备工具(非常详细),零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
01-24 1420
这个字典非常小,关键是比赛中没有大量时间用在扫描上,所以力求短小精悍,准确率高,目前只收录了247个路径或文件,全是历次比赛题目中出现过的路径`,供参考吧,可根据自己的实际情况往里面不断添加。在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。有参加过CTF比赛的小伙伴们都知道,在比赛中分秒必争,却又毫无头绪的时候,一款合适的工具往往能直接决定比赛的成绩。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 2091
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
如何讲清楚async和await?_,ajaxa,azqa,(1),2024年最新细节决定成败
2401_83974020的博客
04-20 934
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。//那么这里就是在等待ajaxA请求的完成。//wait这个单词是等待的意思。
京麒ctf2024-Re-babyharmony(鸿蒙OS逆向)
05-26
京麒ctf2024-Re-babyharmony(鸿蒙OS逆向)
babyharmony(鸿蒙.hap的Native层详解带i64附件)
06-01
鸿蒙操作系统(HarmonyOS)是由华为开发的一款面向全场景的分布式操作系统,旨在提供跨设备的无缝体验。HAP(HarmonyOS Ability Package)是鸿蒙系统中的应用程序包格式,它包含了应用程序的运行所需的所有资源和...
2021 N1CTF CTF 真题.zip
12-07
2021 N1CTF CTF 真题
CTF设计七个经验教训
Javachichi的博客
03-07 932
Hwong梦想建设一个开放的GitHub存储库,其中包含CTF代码,作为开发CTF的基础模块。“在妖精和矮人的故事场景中,作为设计者,你需要提出安全专业人员可能遇到的合理场景,包括潜在的攻击路径和合理的防御,”Hwong指出:“作为CTF设计师,编故事的能力越强,CTF赛事就越有趣,对参赛者的吸引力就越大。CTF(夺旗赛)起源于1996年DEFCON全球黑客大会,是全球范围网络安全圈流行的竞赛形式,DEFCON作为CTF赛制的发源地,是全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
喜报!HarmonyOS 2024创新赛成功进入决赛
a6051529的博客
05-23 401
2024年5月23号,由菁英老猎人带领的纯血鸿蒙开发队伍,成功杀进2024年HarmonyOS创新赛的决赛。该比赛总共参赛队伍有1700多支。比赛总奖金351w,特等奖奖金50w。
CTF小工具下载整理
热门推荐
l8947943的博客
03-22 3万+
1. winhex(磁盘编辑工具) 下载地址:https://zhangfa.lanzoub.com/iQEARyoy2ze 2. ARCHPR(压缩包破解) 下载地址:https://zhangfa.lanzoub.com/iQmy8yq3tuh 3. Ziperello(压缩包密码破解) 下载地址:https://zhangfa.lanzoub.com/idz1Xzuvxfe 4. ExeinfoPe(脱壳检测工具) 下载地址:https://zhangfa.lanzoub.com/ie4Tv01us
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!
dzqxwzoe的博客
11-12 271
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2024年最新ctf-misc 个人笔记(有空闲更新),面试加分项
2401_84264244的博客
05-11 344
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
【2024最新版】建议收藏 | 渗透中常用的在线工具和网站总结
Libra1313的博客
01-24 1555
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
CTF的一些常用工具_ctf工具包(2),HarmonyOS鸿蒙 面试题库
2401_84159911的博客
04-15 597
常见的序列也就是:二进制格式,字节数组,json字符串,xml字符串反序列化的考点也是比较刁钻的,很多人都是比较头疼的,包括现在的我见到反序列见到代码就恶心,这边列几个文章都是我学习反序列感觉比较好的文章!1,CSDN的:https://blog.csdn.net/solitudi/article/details/113588692这个文章基本上很全的罗列了一些CTF的反序列知识点2,先知社区的:https://xz.aliyun.com/t/9342。
RCTF2021-reverse-Hi!Harmony!复现
ookami6497的博客
09-19 646
先看题目描述 谷歌翻译结果:你好,黑客! 你听说过中国神话中创造世界的盘古吗? 搜了下Harmony,得知是鸿蒙的意思 文件分析一下,100%的ELF文件 IDA打开也报错 放进kali中运行试试,无法运行 官方wp中说是使用GDB调试,或者IDA挂载RISC-V插件 之前打比赛的时候都没注意到这个 file命令查看一下属性 IDA打开的时...
go基础面试题汇总第一弹
最新发布
weixin_43683432的博客
10-01 943
通常作为程序执行前包的初始化,例如mysql redis 等中间件的初始化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值