2021第二届“天翼杯”网络安全攻防大赛初赛顺利举办。700余支战队、2000多名网络安全技术领域精英们在线上展开了8个小时的激烈角逐,最终,25支精英战队脱颖而出,晋级决赛。
这次比赛以CTF(夺旗赛)的方式开展,赛题的技术类型覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等多项网络安全技术。
CTF早已由来已久,虽然它只是网络安全比赛中的一种比赛形式,但现在早已将它当做网络安全大赛的缩写。
CTF来源于大神间的技术切磋
1984年,一个叫 Tom Jennings 的朋克老哥搞出了人类历史上第一个基于互联网的BBS系统,它叫做 Fidonet。
通过 Fidonet,天南海北的怪人终于拥有了直接交流信息的方式,很多计算机发烧友和黑客们纷纷建立 Fidonet 站点,互相联系交流。
1993年,一个名叫“白金网络”(Platinum Net)的 Fidonet 站点某区版主 Jeff Moss邀请全美国各地的黑客们一起面基切磋技艺,他还给聚会取名叫DEF CON。
这次聚会响应的人很多,大家似乎都对这种模式很感兴趣,随后Jeff Moss决定每年都要在拉斯维加斯办一次 DEF CON,这一办就办了将近30年。2019年的第27届 DEF CON,全世界慕名打卡朝圣的黑客总计30000多人。
聚会总要想点有意思的小游戏,于是他们想到了一个美国传统游戏“Capture The Flag”,两个队伍各自拿着一个旗帜,哪个队能把对方的旗抢过来,同时保护好自己的旗子,就算获胜。
换算到虚拟的网络世界里,就是几个队伍通过解题的方式互相进攻,同时保护自己的信息不被偷,每次进攻成功就计分,最终谁分高谁就厉害,这个游戏被他们称为 CTF。
这也是目前CTF网络安全大赛的前身。谁都没有想到,在短短二十多年里,它竟然演化成了一项竞技项目,不仅深刻地改变了黑客的世界,也成为了一个独立而坚硬的文化符号。
保护网络安全,防火墙要建牢
CTF现如今是在网络安全领域中,网络安全技术人员进行技术竞技的一种比赛形式,2013年之前全球就举办了超过五十场国际性CTF赛事。简而言之,参加比赛的选手,不是网瘾少年,而是真正的网络技术能力者,他们比拼的,从来就不是游戏。
CTF可以说是当今时代下,对互联网安全的一次大规模探索,百度安全、腾讯安全、阿里巴巴都举办过类似的赛事。
说起来,当时Fidonet 甚至都跨过了大洋,来到了中国。马化腾可是当时深圳站的站长,后来开发了一款可以即时通讯的小软件,叫 QQ。
这话倒是有些跑远了,总之随着互联网的普及,网络安全问题变得越来越突出,我国还专门设置了网络安全宣传周来对网络安全知识进行宣传。
随着连接数的增加,越来越多的设备接入到网络,以实现远程监控、软件更新、更好的数据分析以及系统自动化,攻击面随之大大增加,保护网络免受攻击也成为企业当务之急。
从技术手段上我们可以利用各种软件和各种安全设备来组建和维护一个安全的网络,防火墙就是其中最重要的设备之一。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统,防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访来保护内部网络。
2019年3月,董某就曾租赁境外网络虚拟主机,远程运行其在网络上下载的捕获网站域名软件和扫描软件,欲利用扫描到的网站漏洞,对网站进行攻击,没想到却被防火墙给拦截了,偷鸡不成蚀把米,最后还因违法被抓。
腾讯云Web应用防火墙
面对让人防不胜防的网络攻击,很多厂家开始涉足WAF市场,腾讯云Web应用防火墙(WAF)是基于AI的一站式Web业务运营风险防护方案。
它可以帮助云内用户和云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题。
企业组织通过部署腾讯云Web应用防火墙服务,将Web攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯Web业务防护能力,为组织网站及Web业务安全运营保驾护航。
1、业界领先AI+规则双引擎
传统WAF核心引擎多采用正则表达式集合,存在难以避免“漏判”被绕过,及“误判”导致影响业务的问题。腾讯云Web应用防火墙率先应用 AI+ 规则双引擎检测技术,最大限度地提高已知和未知威胁的检测率和捕获率,最大限度减少误报,并且灵活适应不断变化的 Web 应用。
2、独有DNS劫持检测模块
DNS劫持攻击将对用户业务及品牌信誉带来严重损失,借助于腾讯海量终端的检测探测点与云端强大数据分析能力,对客户提交的域名进行全国范围的 DNS 验证,感知及详细地展示受护域名在各个地域的劫持情况,帮助组织规避 DNS 劫持问题所带来的业务风险问题。
3、数据防泄漏
针对数据窃取行为,腾讯云 WAF 提供基于事前,事中,事后的防护策略:
事前:对服务器信息进行隐藏,并识别拦截黑客的扫描行为,提升黑客入侵难度。 事中:对黑客入侵行为进行感知拦截,阻止黑客对数据库的进一步入侵。 事后:提供自定义的信息泄露防护规则,自动启用数据替换策略,将攻击响应传输中的敏感数据进行替换隐藏,防止黑客获取业务数据。
4、一键整合高防能力
针对突发性大量DDoS攻击问题,腾讯云WAF提供一键方便接入腾讯大禹DDoS防护体系,核心地域同步覆盖, 能够无缝和百G大流量高防包整合,将源站隐藏在源站在具备网站安全防护能力的同时,不惧超大流量DDOS攻击。
5、独有基于AI的爬虫Bot行为管理模块
基于AI+规则的Bot程序管理功能,对友好及恶意Bot爬虫进行甄别分类,并允许采取针对性的管理策略,而对恶意数据爬取商品信息流量采取不响应策略,一方面应对恶意Bot爬取带来的资源消耗,信息泄露及业务竞争问题,同时也保障友好爬虫(如搜索引擎,广告程序)的正常运行。
6、漏洞虚拟补丁
依托腾讯顶尖威胁情报能力,腾讯云WAF主动检测并及时发现高危Web漏洞,0day漏洞,并生成针对漏洞的防护规则,受护用户无需任何操作即可获取紧急漏洞,0day漏洞攻击防护能力,帮助受护网站无忧层出不穷的Web漏洞隐患。
7、CC攻击防护
生成针对漏洞的防护规则,受护用户无需任何操作即可获取紧急漏洞,0day漏洞攻击防护能力,帮助受护网站无忧层出不穷的Web漏洞隐患。
7、CC攻击防护
内置久经实践的CC攻击防护算法,通过在四层和七层阻断海量的恶意请求,智能高效的过滤垃圾访问,有效防御CC攻击,保障业务数据免被恶意爬取及保障正常业务访问的稳定性。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
