关于CTF
CTF(Capture The Flag,夺旗赛)起源于 1996 年 DEFCON 全球黑客大会,是网络安全爱好者之间的竞技游戏。
CTF比赛有以下特点:
◆比赛侧重于对计算机底层和系统安全的核心能力,Web 漏洞攻防技巧完全被忽略。
◆竞赛环境趋向多 CPU 指令架构集,多操作系统,多编程语言。
◆采用「零和」计分规则。
◆团队综合能力考验:逆向分析、漏洞挖掘、漏洞利用、漏洞修补加固、网络流量分析、系统安全运行维护以及安全方面的编程调试。
CTF竞赛模式分为:
解题模式 (Jeopardy)
攻防模式(Attack-Defense)
战争分享模式 (Belluminar)
混合模式(解题模式与攻防模式结合)
题目类型:
主要包含 Web 网络攻防 、 RE 逆向工程 、 Pwn 二进制漏洞利用 、 Crypto 密码攻击 、 Mobile 移动安全 以及 Misc 安全杂项 这六个类别。
◆Web - 网络攻防:Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等
基础知识:网络通信、网络协议、编程语言PHP、MYSQL等
◆Reverse Engineering - 逆向工程:软件保护、反编译、反调试、加壳脱壳技术术
基础知识:汇编语言、加密与解密、常见反编译工具的使用
◆Pwn - 二进制漏洞利用:二进制漏洞的发掘和利用
◆Crypto - 密码攻击:掌握古典密码学和现代密码学,分析密码算法和协议,计算密钥和进行加解密操作。
◆Mobile - 移动安全:安卓逆向
◆Misc - 安全杂项:主要包括信息搜集、编码分析、取证分析、隐写分析等。
各题型排序(从简到难):
Misc(杂项) -> Crypto(密码学) -> Web(Web安全) -> Reverse(逆向⼯程) -> PWN(二进制)
国内相关赛事:
●XCTF全国联赛●AliCTF●XDCTF●HCTF●ISCC●LCTF●TCTF●Real World CTF●百度杯CTF夺旗大战●全国大学生信息安全竞赛创新实践能力赛线上赛 等等
例如2016 年全国大学生信息安全竞赛开始举办创新实践技能赛,采取的就是传统的 CTF 赛制。其竞赛内容相对全面,包括系统安全,软件逆向,漏洞挖掘和利用,密码学原理及应用以及一些其他内容,包括信息搜集能力,编程能力、移动安全、云端计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证(Forensics)技术和文件恢复技能,计算机网络基础以及对网络流量的分析能力。
参加CTF的意义:
在我们这个互联网时代,网络安全显得尤为重要。无论是对一个国家,还是一家互联网公司,这样的网络安全对抗在现实中无时无刻都在发生。在ctf上可以快速提高自己的能力,督促自己去学习,网络安全的ctf很重要,并且竞赛含金量很高。CTF高手在毕业后,很受互联网公司欢迎。参加CTF比赛如果获得奖项,在步入工作时写入简历也是非常有利的。
我是小菜~请各位大佬多多指教~