一、CTF 竞赛内容
因为 CTF 的考题范围其实比较宽广,目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话,主要还是依据常见的以下几种题型。
-
Web 网络攻防
-
RE 逆向工程
-
Pwn 二进制漏洞利用
-
Crypto 密码攻击
-
Mobile 移动安全
-
Misc 安全杂项
-
Web - 网络攻防
主要介绍了 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,Web 安全中常见的题型及解题思路,提供了一些常用的工具。
- Reverse Engineering - 逆向工程
主要介绍了逆向工程中的常见题型、工具平台、解题思路,进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。
- Pwn - 二进制漏洞利用
Pwn 题目主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。
- Crypto - 密码攻击
主要包括古典密码学和现代密码学两部分内容,古典密码学趣味性强,种类繁多,现代密码学安全性高,对算法理解的要求较高。
- Mobile - 移动安全
主要介绍了安卓逆向中的常用工具和主要题型,安卓逆向常常需要一定的安卓开发知识,iOS 逆向题目在 CTF 竞赛中较少出现,因此不作过多介绍。
- Misc - 安全杂项
以诸葛建伟翻译的《线上幽灵:世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点,内容主要包括信息搜集、编码分析、取证分析、隐写分析等。
二、全国大学生信息安全竞赛 - 竞赛内容
2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016 年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。
-
系统安全
-
软件逆向
-
漏洞挖掘和利用
-
密码学原理及应用
-
其他内容
-
系统安全
涉及操作系统和 Web 系统安全,包括 Web 网站多种语言源代码审计分析(特别是 PHP)、数据库管理和 SQL 操作、Web 漏洞挖掘和利用(如 SQL 注入和 XSS)、服务器提权、编写代码补丁并修复网站漏洞等安全技能。
- 软件逆向
涉及 Windows/Linux/Android 平台的多种编程技术,要求利用常用工具对源代码及二进制文件进行逆向分析,掌握 Android 移动应用 APK 文件的逆向分析,掌握加解密、内核编程、算法、反调试和代码混淆技术。
- 漏洞挖掘和利用
掌握 C/C++/Python/PHP/Java/Ruby/汇编 等语言,挖掘 Windows/Linux(x86/x86_64 平台)二进制程序漏洞,掌握缓冲区溢出和格式化字符串攻击,编写并利用 shellcode。
- 密码学原理及应用
掌握古典密码学和现代密码学,分析密码算法和协议,计算密钥和进行加解密操作。
- 其他内容
包括信息搜集能力,编程能力、移动安全、云计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证(Forensics)技术和文件恢复技能,计算机网络基础以及对网络流量的分析能力。
三、CTF赛题做法和预备知识
常规做法 :
-
A方向:PWN+Reverse+Crypto随机搭配
-
B方向:Web+Misc组合,Misc所有人都可以做
入门知识:
-
都要学的内容:
linux基础、计算机组成原理、操作系统原理、网络协议分析
-
A方向:
IDA工具使用(fs插件)、逆向工程、密码学、缓冲区溢出等
-
B方向:
Web安全、网络安全、内网渗透、数据库安全等 前10的安全漏洞
推荐资料:
-
A方向:
-
RE for Beginners
-
IDA Pro权威指南
-
揭秘家庭路由器0day漏洞挖掘技术
-
自己定操作系统
-
黑客攻防技术宝典:
系统实战篇 有各种系统的逆向讲解
-
B方向:
-
Web应用安全权威指南 最推荐小白,宏观web安全
-
Web前端黑客技术揭秘
-
黑客秘籍——渗透测试实用指南
-
黑客攻防技术宝典 web实战篇 web安全的所有核心基础点,有挑战性,最常规,最全,学好会直线上升
-
代码审计:
企业级web代码安全架构
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 |
CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
同时每个成长路线对应的板块都有配套的视频提供:
实战训练营
面试刷题
视频配套资料&国内外网安书籍、文档
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 |
CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
![](https://img-blog.csdnimg.cn/img_convert/968eb8cf7131d9022410c04079f21a25.png)