CTF指的是网络安全技术人员之间进行技术竞技的一种比赛形式。在比赛中参赛队伍为获取flag。需要通过解决信息安全的技术问题来获取flag。其分为六个方向,分别是web安全,逆向工程(Reverse),Pwn:二进制漏洞利用,Crypto-密码攻击,Mobile-移动安全,Misc-安全杂项。 1 -Web-网络攻防学习Web安全中常见的漏洞,在考试中通过浏览器访问题目服务器上的网站,寻找网站漏洞(SQL注入等)。 2- RE-逆向工程主要是对软件结构等进行分析,在考试中题目就是一个软件,需要理解其内部原理,找出算法并破解。 3 -Pwn-二进制漏洞利用 主要考察二进制漏洞的发掘和利用,找出程序里存在的漏洞,通过漏洞获取权限。 4-Crypto-密码攻击包括古典密码学和现代密码学,古典趣味性强,种类繁多,现代安全性高,要求对算法的理解高,在考试中分析题目里的密码算法和协议用来计算密钥。 5-Mobile-移动安全 主要针对安卓系统进行逆向分析,主要包括:APP安全审查,系统漏洞挖掘等。 6-Misc-安全杂项主要包括信息搜集等,比赛中利用隐写术将信息隐藏在图像,音频等里面。选手要将隐藏的信息回复出来。 ctf比赛模式分为三类:解题模式、攻防模式,混合模式。 a 题模式:通常为在线比赛,选手自由组队参赛。 b攻防模式:通常为现场比赛,选手自由组队参赛。 c混合模式:结合了解题模式与攻防模式的CTF赛制,然后通过攻防对抗进行得分的游戏,最终以高分获胜。