网安之腾飞

小羊的风火轮冒烟啦

已于 2024-05-20 14:07:30 修改

阅读量822

点赞数 18

文章标签：安全

于 2024-02-26 10:26:54 首次发布

本文链接：https://blog.csdn.net/m0_65372269/article/details/136271372

版权

本文介绍了网络安全领域的专业名词，如CTF夺旗赛、SRC安全应急响应中心、POC漏洞证明代码等，详细解读了它们的概念和应用，并概述了web安全基础和竞赛模式，包括解题、攻防和混合模式。此外，还涉及了web工作流程和一些实用技巧，如使用Googleback语法和靶机设置。

摘要由CSDN通过智能技术生成

一、网安专业名词解释

① CTF

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。

赛事介绍

CTF是一种流行的信息安全竞赛形式，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而夺得分数。为了方便称呼，我们把这样的内容称之为“Flag”。

信息安全行业的一种竞赛形式，目标就是为了夺取FLAG，一般称之为夺旗赛。

竞赛模式

CTF竞赛模式具体分为以下三类：

一、解题模式（Jeopardy）

在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

二、攻防模式（Attack-Defense）

在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。 [1]

三、混合模式（Mix）

结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

②SRC

概念介绍

安全应急响应中心（SRC, Security Response Center），是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。说白了，就是连接白帽子和企业的平台，你去合法提交漏洞给他们，他们给你赏金。目前国内有两种平台，一种是漏洞报告平台，另一种就是企业SRC，这里也给大家强调一下，一定不要非法挖洞，要注意挖洞尺度和目标要有授权！做一个遵纪守法的好公民！

第三方报告平台。报告平台是指由独立的第三方公司成立的综合性的报告平台。国内补天平台、盒子平台、火线平台等均属于该模式。外部报告者注册对应漏洞报告平台，选择对应的厂商进行报送，接着该第三方机构会发送邮件提示相关厂商确认处理。

企业SRC。企业自己开发自己的安全应急响应中心，制定自己的漏洞收集以及奖金计划。目前国内已有近百家企业SRC平台，例如百度、阿里、腾讯、美团、滴滴等，均成立了自己的安全应急响应中心，对外收集并处理白帽子报送的报告。