打CTF比赛/HVV挖洞需要了解哪些知识?

已于 2024-04-18 15:59:59 修改
阅读量861 收藏 16
点赞数 12
文章标签: 网络安全 tcp/ip sql xss python
于 2023-12-05 10:42:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kailiaq_1/article/details/134800595
版权

参加CTF(Capture The Flag)比赛或参与漏洞赏金猎人(HVV, HackerOne Vulnerability Hunter)活动需要以下关键知识:

1. 网络和系统安全:
    理解TCP/IP、DNS、HTTP等网络协议。
    掌握操作系统安全,特别是Linux和Windows。

2. 编程和脚本:
    熟悉至少一种编程语言,如Python、JavaScript或Ruby。
    能够编写简单的脚本来自动化任务。

3. 渗透测试工具:
    掌握Nmap、Wireshark、Metasploit、Burp Suite等常用渗透测试工具。
    理解这些工具的工作原理和使用方法。

4. 漏洞识别和利用:
    了解常见漏洞类型,如SQL注入、XSS、CSRF等。
    学习如何发现和利用这些漏洞。

5. 逆向工程和密码学:
    对逆向工程技术有基本的了解。
    理解基础的密码学原理。

6. 道德和法律知识:
    了解和遵守相关的法律法规。
    坚持道德黑客的原则。

7. 网络防御和应急响应:
    理解防御机制如何工作。
    学习应急响应和事件处理。

这些知识对于参与CTF比赛和HVV活动至关重要,不仅需要技术能力,还要有良好的逻辑思维、解决问题的技巧和持续学习的态度。

 

白帽子凯哥
关注
记一次CTF过程(Writeup)
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
【转】一个4年CTF入门者自述:曾经掉过的坑与干货总结
knaha的博客
07-09 4192
转载自 https://zhuanlan.zhihu.com/p/21685384?utm_source=qq&utm_medium=social&utm_oi=791204951979339776 一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技...
什么是护网(HVV)_需要什么技能?
A_991128a的博客
10-29 327
护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对网络安全问题所做的重要布局之一。护网随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“护网”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
全是干货!24hvv行动蓝初知识点汇总
gyn2003的博客
04-03 1570
24hvv知识点汇总分享
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1309
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
近年HVV、红队攻防比赛中常见外围打点漏洞的分析与总结
Websec
07-29 718
sentinel弱口令、mysql的3306弱口令,但我未见到过外网的SQLServer的弱口令(推测原因是,如果存在弱口令,早就被外网的那些抓肉鸡战队给光顾了)、phpmyadmin弱口令、管理员弱口令(进后台能看到通讯录的话,也是有价值的)、druid未授权获取session,登录后台获取数据。红队队员首先在网上通过各种信息收集得到目标单位的员工手机号,然后通过微信加好友的方式,谎称自己是某大型公司的HR,发送年薪百万的岗位内部招聘主题类的压缩包,实际上里面是一个后门程序,这种方式有很多成功案例,
现在学网络安全主要是实战还是打CTF
Z987421的博客
06-24 543
现在学网络安全主要是实战还是打CTF
网络安全这条路到底该怎么走?
msb_114的博客
05-16 1850
网络安全这条路到底应该怎么走?99%的人都没搞清楚!
为什么我强烈推荐大学生打CTF
fly_enum的博客
01-27 774
写这个文章是因为我很多粉丝都是学生,经常有人问:感觉大一第一个学期忙忙碌碌的过去了,啥都会一点,但是自己很难系统的学习到整个知识体系,很迷茫,想知道要如何高效学习。
网络攻防hvv-红蓝对抗
weixin_46626737的博客
06-30 641
4.权限维持-不死木马(就是进程一直都在运行,不会被任务管理器杀掉,因为一直在运行,所以无法删除)php的不死函数:ignore_user_abort(true)第二种:CTF对抗,也分为两个队,但是每个队伍都有蓝队和红队。第一种:护网,分为两个队,红队(纯攻击)和蓝队(纯防御)在一开始开启waf(有上传就删除)Ⅳ.漏洞利用率(poc/exp)可以用来检测ip,域名,文件等等。Ⅲ.脚本工具(扫描探针等等)红队攻击方法,可以学习。9.微步情报和奇安信威胁平台。
hvv知识点(基础)
Makboli的博客
04-09 5857
Hw面试知识点整理 又到了每年hw的时间段了,今年也是报名了hw行动,然后对于面试还没啥太大的把握,就在此整理总结一些大佬们的hw面试经验。 1.SQL注入的分类 (1)Bool盲注 (2)时间注入 (3)报错注入 (4)堆叠注入 (5)二次注入 (6)宽字节注入 (7)Cookie注入 (8)Union联合注入 2.关系型数据库-非关系型数据库 关系型: MySQL:3306 SQL Server:1433 Oracle:1521 DB2:5000 MongoDB:27017—非关系型数据库 非关系型:
怎么学习网络安全?这篇文带你从入门级开始学习网络安全
youmaob的博客
03-18 2338
本人刚入行网络安全行业没多久,当时并没有报什么线下培训,基本上都是自学为主,接下来就来和大家说一说我当时是如何入门的。
ctf入门漏洞挖掘
Tesi1a的充电桩
04-16 5035
基本功是计算机基础三大金刚的学习:体系结构–cpu的设计与实现 机器指令与汇编语言 指令的解码,执行 内存管理 CMU 18-477 introduction to Computer Architecture https://www.ece.cmu.edu/~ece447/s15/doku.php https://www.ece.cmu.edu/~ece447/s13/doku.php?
CTF中几种通用的sql盲注手法和注入的一些tips
xuchen16的博客
10-09 2627
转载自:https://www.anquanke.com/post/id/160584 0x00 前言 在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的盲注手法和一些小tips,希望能在今后大家的...
知乎小白关于ctf竞赛训练 积累的资料
热门推荐
syh_486_007的专栏
09-04 3万+
一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。 国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8551
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
入门车载以太网(4) -- 传输层(TCP\UDP)
最新发布
认真搞搞汽车MCU
11-11 1123
车载以太网前3层(物理层、数据链路层、网络层)实现了主机间的通信,物理层通过cables传输比特流,数据链路层传输以太网帧,网络层传输数据报给到目的主机,但是由于ECU可能存在多个进程,具体应该给到哪个进程?这就由传输层来完成。传输层位于OSI的第4层,主要作用是提供端到端的数据传输,负责两个通信端的会话建立、维护和终止,由于主机IP地址固定,因此在主机进程上新增了本地唯一的端口号,利用Port号在软件层级进行寻址,以保证数据能够正确送到目的进程。
CTF比赛入门宝典:基础知识与实战技巧
"CTF比赛全量指南(ctf-all-in-one).pdf" 是一本针对CTF竞赛的全面教程,旨在帮助新人快速入门并提升技能。书中详细介绍了各类CTF题型,包括基础知识和实战案例。 CTF,即Capture The Flag,是一种网络安全竞赛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值