CTF网络安全大赛介绍

程序员小强_

已于 2024-01-18 23:06:47 修改

阅读量2.2k

点赞数

文章标签： web安全安全网络

于 2023-09-23 10:16:26 首次发布

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/133199129

版权

赛事介绍

CTF竞赛模式分为以下三类：
一、解题模式（Jeopardy）在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
二、攻防模式（Attack-Defense）在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。
三、混合模式（Mix）结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

国际知名CTF赛事

根据CTFTIME提供的国际CTF赛事列表，包括已完成的赛事和即将开赛的赛事。此外也根据社区反馈为每个国际CTF赛事评定了权重级别，权重级别大于或等于50的重要国际CTF赛事包括：
· DEFCON CTF：CTF赛事中的“世界杯”
· UCSB iCTF：来自UCSB的面向世界高校的CTF
· Plaid CTF：包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛
· Boston Key Party：近年来崛起的在线解题赛
· Codegate CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元
· Secuinside CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元
· XXC3 CTF：欧洲历史最悠久CCC黑客大会举办的CTF
· SIGINT CTF：德国CCCAC协会另一场解题模式竞赛
· Hack.lu CTF：卢森堡黑客会议同期举办的CTF
· EBCTF：荷兰老牌强队Eindbazen组织的在线解题赛
· Ghost in the Shellcode：由Marauders和Men in Black Hats共同组织的在线解题赛
· RwthCTF：由德国0ldEur0pe组织的在线攻防赛
· RuCTF：由俄罗斯Hackerdom组织，解题模式资格赛面向全球参赛，解题攻防混合模式的决赛面向俄罗斯队伍的国家级竞赛
· RuCTFe：由俄罗斯Hackerdom组织面向全球参赛队伍的在线攻防赛
· PHD CTF：俄罗斯Positive Hacking Day会议同期举办的CTF
国际重要CTF赛事分布图
红色为解题模式选拔赛+攻防模式现场决赛，黑色为混合模式在线赛，紫色为解题模式CTF赛，橘色为在攻防模式在线赛

国内知名CTF赛事

XCTF全国联赛中国网络空间安全协会竞评演练工作组主办、南京赛宁承办、KEEN TEAM协办的全国性网络安全赛事平台，2014-2015赛季五站选拔赛分别由清华、上交、浙大、杭电和成信技术团队组织（包括杭电HCTF、成信SCTF、清华BCTF、上交0CTF和浙大ACTF），XCTF联赛总决赛由蓝莲花战队组织。XCTF联赛提供100万元奖励池，是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
AliCTF由阿里巴巴公司组织，面向在校学生的CTF竞赛，冠军奖金10万元加BlackHat全程费用。
XDCTF由西安电子科技大学信息安全协会组织的CTF竞赛，其特点是偏向于渗透实战经验。
HCTF由杭州电子科技大学信息安全协会承办组织的CTF杭州电子科技大学信息安全协会由杭州电子科技大学通信工程学院组织建立，协会已有七年历史，曾经出征DEFCON,BCTF等大型比赛并取得优异成绩，同时协会还有大量有影响力的软件作品。协会内部成员由热爱黑客技术和计算机技术的一些在校大学生组成，有多个研究方向，主要有渗透，逆向，内核，web等多个研究方向。至今已经成功举办6次CTF比赛。
ISCC由北理工组织的传统网络安全竞赛，最近两年逐渐转向CTF赛制。

国内外知名CTF战队

PPP –近几年崛起的超神明星战队，来自美国CMU，队内有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军，2014年PPP包揽了GitS和CodeGate冠军，CTFTIME全球排名仅次于Dragon Sector排名第二，Geohot神奇小子的单人队tomcr00se（没错，他就自称网络空间的汤姆克鲁斯）在大满贯赛Boston Key Party和大奖赛Secuinside，击败其他多人战队拔得头筹。由Geohot神奇小子加盟2013年DEFCON CTF总决赛冠军阵容，PPP战队再度卫冕2014年总决赛冠军。

Blue-Lotus –来自中国大陆的安全宝·蓝莲花战队。2013年历史性地作为华人世界首次入围DEFCON CTF总决赛的队伍，并在决赛获得第11名，八支首次入围决赛战队中名次仅次于澳大利亚9447的较好成绩。2014年在成功举办首届BCTF全国网络安全技术对抗赛后，连续第二次闯入DEFCON总决赛，并获得第五名的优秀成绩。2014年国际CTF战绩包括ASIS CTF资格赛第3名、PlaidCTF/CodeGate八强，在CTFTIME全球排名第16位，亚洲战队第2（仅次于韩国penthackon）。
Men in the Blackhats – 来自美国传统强队Hates Irony分拆的战队，Hates Irony战队先前在2011年和2012年资格赛中都位居第一，并在2011年总决赛中获得季军，2013年DEFCON总决赛亚军队伍，2014年DEFCON总决赛第六名，实力和经验都不容小觑的一支战队。

More Smoked Leet Chicken – 简称MSLC，俄罗斯的传统强队，由两支队伍Leet More和Smoked Chicken合并而成。2014年DEFCON以RuCTFe大满贯赛冠军入围总决赛，在已获得入围资格时也参加了资格赛，获得第7名。MSLC战队在2012年曾狂揽七项CTF赛冠军，但近两年被美国PPP和波兰Dragon Sector等强队压制，少有冠军战绩，2013年DEFCON总决赛获得第4名，2014年DEFCON总决赛下滑至第12名。2014年CTFTIME全球排名第3位。

Dragon Sector – 来自波兰Google Security Team的强队，今年狂揽六项CTF赛冠军，CTFTIME全球排名力压PPP（但是积分和没有PPP+Tomc00se高），占据积分榜首位。2014年DEFCON CTF总决赛获得季军。

StratumAuhuur – 来自德国的战队，由Stratum0和CCCAC联盟组成，以大满贯赛Boston Key Party亚军（冠军被神奇小子Geohot单人队Tomc00rse摘走）获得总决赛入场券。今年国际CTF赛事多次屈居亚军，全球CTFTIME排名第4位，首次入围DEFCON总决赛，并获得第8名的较好名次

HITCON – 来自中国宝岛台湾的队伍，主力为台湾大学学生，在蓝莲花战队组织的首届BCTF全国网络安全技术对抗赛获得冠军，之后在DEFCON CTF资格赛最后时刻逆袭得分，突入DEFCON总决赛，成为台湾地区首次入围决赛的队伍。2014年获得ASIS CTF资格赛第一名，并在DEFCON总决赛中以大黑马姿态获得亚军。

Shellphish– 来自美国UCSB大学的传统强队，也是历史最悠久的全球高校CTF夺旗赛iCTF的组织者，曾于2005年在DEFCON CTF总决赛夺冠，2011年和2012年在CTF总决赛排名都是第9位，2013年第7名。

raon_ASRT – 2013年DEFCON CTF总决赛的季军队伍，来自韩国RAON公司安全研究院的团队，其中两位核心人员是由韩国Best of Best白帽计划培养的天才少年。2013年Codegate决赛冠军队，Secuinside决赛亚军，2014年Nuit du Hack CTF季军。Raon_ASRT也是今年Secuinside大奖赛的组织者。2014年DEFCON CTF总决赛第7名。

9447– DEFCON CTF总决赛唯一一支来自南半球的队伍，源自澳大利亚UNSW大学，由IT安全讲师Fionnbharr Davies以一门课程9447为基础发展起来的新锐战队，2013年刚一成立便晋级DEFCON总决赛，并在总决赛中获得第10名的好成绩。今年更是以资格赛第3名的好成绩入围总决赛，并获得第9名。

KAIST GoN – 韩国传统的CTF强队，以韩国科学技术院（KAIST）学生为主力，在2013年缺席总决赛之后，2014以资格赛第8名回归。，DEFCON CTF总决赛获得第10名。

[SEWorks]penthackon – 以大满贯赛Olympic CTF亚军（冠军是Dragon Sector）身份获得2014年DEFCON CTF总决赛入场券，获得。目前CTFTIME全球排名第7位。SEWorks是韩国一家Mobile Security的公司，公司创始人也是五届入围DEFCON总决赛WOWHackers战队的创始人。Binja – 队名含义为“二进制忍者”，以日本传统CTF强队Sutegoma2为班底，加上katagaitai和EpsilonDelta组建的一支新战队，2014年以大奖赛Secuinside第4名成绩（前三名分别为TomC00se单人队、CodeRed和MSLC）抓住了进军DEFCON总决赛最后的救命稻草，在总决赛排名第13名。Sutegoma2的队名含义为日本“将棋”中的一种常见手筋“退路舍驹”，成员也以安全公司技术人员为主，2011年DEFCON 19首次打入总决赛，已经是连续第四届入围总决赛，2013年总决赛排名第6名。

0ops – 上海交通大学信息网络安全协会组织的CTF战队，姜开达老师作为领队。队长Slipper、副队长Lovelydream曾是蓝莲花战队队员。2013年9月成立后即积极参与国际知名CTF赛事，曾在Hack.Lu在线夺旗赛中获得季军，成功组织过0CTF、ISG等国内知名的CTF赛事

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！



CTF 竞赛内容

因为 CTF 的考题范围其实比较宽广，目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话，主要还是依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全以及 Misc 安全杂项来进行分类。

Web - 网络攻防

主要介绍了 Web 安全中常见的漏洞，如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等，Web 安全中常见的题型及解题思路，提供了一些常用的工具。

Reverse Engineering - 逆向工程

主要介绍了逆向工程中的常见题型、工具平台、解题思路，进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。

Pwn - 二进制漏洞利用

Pwn 题目主要考察二进制漏洞的发掘和利用，需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中，PWN 题目主要出现在 Linux 平台上。

Crypto - 密码攻击

主要包括古典密码学和现代密码学两部分内容，古典密码学趣味性强，种类繁多，现代密码学安全性高，对算法理解的要求较高。

Mobile - 移动安全

主要介绍了安卓逆向中的常用工具和主要题型，安卓逆向常常需要一定的安卓开发知识，iOS 逆向题目在 CTF 竞赛中较少出现，因此不作过多介绍。

Misc - 安全杂项

以诸葛建伟翻译的《线上幽灵：世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点，内容主要包括信息搜集、编码分析、取证分析、隐写分析等。

全国大学生信息安全竞赛 - 竞赛内容¶

2016 年全国大学生信息安全竞赛开始设立创新实践技能赛，采取的就是传统的 CTF 赛制。在《2016 年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面，值得参考。

系统安全

涉及操作系统和 Web 系统安全，包括 Web 网站多种语言源代码审计分析（特别是 PHP）、数据库管理和 SQL 操作、Web 漏洞挖掘和利用（如 SQL 注入和 XSS）、服务器提权、编写代码补丁并修复网站漏洞等安全技能。

软件逆向

涉及 Windows/Linux/Android 平台的多种编程技术，要求利用常用工具对源代码及二进制文件进行逆向分析，掌握 Android 移动应用 APK 文件的逆向分析，掌握加解密、内核编程、算法、反调试和代码混淆技术。

漏洞挖掘和利用

掌握 C/C++/Python/PHP/Java/Ruby/汇编等语言，挖掘 Windows/Linux（x86/x86＿64 平台）二进制程序漏洞，掌握缓冲区溢出和格式化字符串攻击，编写并利用 shellcode。

密码学原理及应用

掌握古典密码学和现代密码学，分析密码算法和协议，计算密钥和进行加解密操作。

其他内容

包括信息搜集能力，编程能力、移动安全、云计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证（Forensics）技术和文件恢复技能，计算机网络基础以及对网络流量的分析能力。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。