夜樱

浅谈网络安全竞赛CTF入门
听说配上音乐观看更合适:D有感而发,自己也想去给身边感兴趣的人了解下何为CTF,CTF是怎么样的,因为自己入坑了所...
扫描右侧二维码阅读全文
27
2018/12

浅谈网络安全竞赛CTF入门

听说配上音乐观看更合适:D

00:00
加载中……请稍等……

有感而发,自己也想去给身边感兴趣的人了解下何为CTF,CTF是怎么样的,因为自己入坑了所以不能放过身边想打CTF的人XD

什么是CTF

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。也是现在安全人员之间技术交流和技能提升重要途径之一。

CTF有哪些方面

依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全 以及 Misc 安全杂项 来进行分类。

web - 网络攻防

主要介绍了 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,Web 安全中常见的题型及解题思路,提供了一些常用的工具。

Reverse Engineering - 逆向工程

主要介绍了逆向工程中的常见题型、工具平台、解题思路,进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。

Pwn - 二进制漏洞利用

Pwn 题目主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。

Crypto - 密码攻击

主要包括古典密码学和现代密码学两部分内容,古典密码学趣味性强,种类繁多,现代密码学安全性高,对算法理解的要求较高。

Mobile - 移动安全

主要介绍了安卓逆向中的常用工具和主要题型,安卓逆向常常需要一定的安卓开发知识,iOS 逆向题目在 CTF 竞赛中较少出现,因此不作过多介绍。

Misc - 安全杂项

以诸葛建伟翻译的《线上幽灵:世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点,内容主要包括信息搜集、编码分析、取证分析、隐写分析等。

CTF人员的素养

1.思维跳跃:灵活性,不会钻墙脚

2.专注:遇到问题不放弃直到解决

3.耐力:连续一天研究技术

4.团队精神:责任、凝聚、分享

有3条为强力成员,有4条会成为强力队长!

如何学习CTF

1.分析赛题情况

2.分析自身能力 自己最适合哪个方向

3.选择更适合的入手

建议至少要掌握两种题型方向,敢于尝试任何一种可能性

如何组建一支CTF战队

人员要求:
1.志同道合,心术正直

2.永不言弃,能一直坚持下去

3.擅与分享交流,能沟通交流

4.分工明确,总结结论

常规方向

A方向:PWN+Reverse+Crypto随机搭配

B方向:Web+Misc组合

Misc所有人都可以做

入门所需基础

1.编程语言基础(c、汇编、脚本语言)

2.数学基础(算法、密码学)

3.脑洞大开(天马行空的想象、推理解密)

4.体力耐力(通宵熬夜)

总结

总的来说,CTF作为一个高素质高技术的竞争,需要有良好的团队合作交流,禁忌排除可能性的行为,可能在你想到的情况下那就是正确的方向无数种可能性都有必要去尝试下万一就实现了呢?也不是盲目的去尝试,要去进行一番了解后再去思考哦,这样就能省下许多的时间owo

最后我以后会在自己的站上放上拥有的CTF工具供大家使用owo
希望这篇文章能够帮助到你在CTF上有一定的认识,也愿你能在CTF上越发精彩。

Last modification:February 16th, 2019 at 10:05 am
If you think my article is useful to you, please feel free to appreciate

4 comments

  1. Dvsx

    我现在就有一个基于GitHub的博客,想趁着马上放假了,把网站给整的花里胡哨的哈哈哈,就是不知道从何下手了。。。毕竟是门面嘛,整的好了心情就会不错的啦

    1. vivi
      @Dvsx

      那加QQ聊吧 owo

  2. Dvsx

    大佬,你这个博客用的什么模板,怎么搭建的,能写一篇文章教教我们这些菜鸡吗?

    1. vivi
      @Dvsx

      ( ,,´・ω・)ノ"(´っω・`。)我也是用别人的模板搭的,只能教你们怎么搭建基础的啦

Comment here is closed