简介
PWN,Reverse偏重逆向,汇编的理解
Crypto偏重数学,算法的深入学习
Web偏重技巧沉淀,快速搜索能力的挑战
Misc则更为复杂,所有与计算机安全挑战的都算在其中
常规做法:
A方向:PWN+Reverse+Crypto随机搭配
B方向:Web+Misc组合
都要学的内容:
Linux基础,计算机组成原理,操作系统原理,网络协议分析
A方向:
- IDA工具使用
- 逆向工程
- 密码学
- 缓冲区溢出
A方向相关书籍
- RE for Beginners(逆向工程入门)
- IDA Pro 权威指南
- 揭秘家庭路由器0day漏洞挖掘技术
- 自己动手写操作系统
- 黑客攻防技术宝典:系统实战篇
B方向:
- 网络安全
- 内网渗透
- 数据库安全
B方向相关书籍:
- web应用安全权威指南
- web前端黑客技术揭秘
- 黑客秘籍-渗透测试使用指南
- 黑客攻防技术宝典:web篇
- 代码审计:企业级web安全代码架构
刷题地址
idf实验室
i春秋
攻防世界
wechall
Embedded Security CTF
smash the stack
wargames
play game
prompt(1) to win
RedTiger’s Hackit
ctfhub
bugku
buuctf
工具
常规比赛形式
解题模式 Jeopardy
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛有些类似,以解决网络安全技术挑战题目的分值和时间排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
攻防模式 Attack-Defense
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。
混合模式 Mix
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
题型介绍
Web
知识点囊括常见的WEB漏洞,诸如信息泄漏、SQL注入、XSS、文件包含、代码执行等漏洞。
Crypto
密码学,题目考察各种加解密技术,包括古典加密技术、现代加解密技术甚至出题者自创加密技术。
Misc
MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。
Reverse
REVERSE题型,即逆向工程,涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。
PWN
PWN在黑客中代表攻破,取得权限,CTF比赛中代表着二进制安全题型,其中常见的有溢出漏洞有栈溢出,堆溢出。