CTF競賽模式有哪些?
-
參賽隊(duì)伍在單位時(shí)間內(nèi)以解題數(shù)量多少來衡量成績,題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等內(nèi)容。
-
參賽隊(duì)伍通過挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手獲得分?jǐn)?shù),同時(shí)通過修復(fù)自身服務(wù)漏洞,限制對(duì)手得分。
-
參賽隊(duì)伍通過解題可以獲取一些初始分?jǐn)?shù),然后通過攻防對(duì)抗進(jìn)行得分增減的零和游戲,最終以得分高低分出勝負(fù)。
參加CTF競賽應(yīng)該具備哪些技能?
- CTF以團(tuán)隊(duì)為競賽單位,要求隊(duì)員間技術(shù)互補(bǔ),且至少精通一種競賽題型
- 01
WEB滲透測試
- 02
CRYPTO密碼學(xué)
- 03
PWN二進(jìn)制漏洞利用
- 04
REVERSE逆向工程
- 05
MISC雜項(xiàng)流量分析
CTF競賽題型有哪些?
-
基礎(chǔ)知識(shí)
競賽基礎(chǔ)知識(shí),以綜合解決方案的形式來體現(xiàn)知識(shí)內(nèi)容,涉及數(shù)據(jù)庫基礎(chǔ),網(wǎng)絡(luò)安全基礎(chǔ)、操作系統(tǒng)基礎(chǔ)等。
-
MISC
安全雜項(xiàng),題目涉及流量分析、電子取證、人肉搜索、數(shù)據(jù)分析、大數(shù)據(jù)統(tǒng)計(jì)等等,覆蓋面比較廣。
-
PPC
源代碼,題目涉及到程序編寫、編程算法實(shí)現(xiàn)。算法的逆向編寫,批量處理等。
-
CRYPTO
密碼學(xué),題目考察各種加解密技術(shù),包括古典加密技術(shù)、現(xiàn)代加解密技術(shù)甚至出題者自創(chuàng)加密技術(shù)。
-
PWN
在黑客中代表攻破,取得權(quán)限,CTF比賽中代表著溢出類題目,其中常見類型溢出漏洞有棧溢出,堆溢出。
-
REVERSE
逆向工程,涉及到軟件逆向、破解技術(shù)等,要求有較強(qiáng)的反匯編、反編譯扎實(shí)功底。
-
WEB
WEB是CTF奪旗競賽中主要題型,涉及到常見的Web漏洞,諸如注入、XSS、文件包含、代碼執(zhí)行、上傳等漏洞。
-
STEGA
隱寫術(shù),題目的Flag會(huì)隱藏到圖片、音頻、視頻等各類數(shù)據(jù)載體中供參賽選手獲取。
都說CTF競賽含金量高 究竟難在哪兒?
-
01
CTF競賽題目綜合性強(qiáng)
題型涉及范圍廣 -
02
CTF競賽題目靈活性強(qiáng)
解題思路不唯一 -
03
CTF競賽題目復(fù)雜度高
出題者標(biāo)榜技術(shù) -
04
CTF競賽題目隨意性強(qiáng)
偏題怪題很常見
CTF競賽想拿高分 該如何備戰(zhàn)?
-
提升短板 磨煉殺招
CTF競賽題型分成5個(gè)模塊,要求隊(duì)員至少精通一類模塊技術(shù)。隊(duì)伍不能有明顯技術(shù)短板,根據(jù)以往經(jīng)驗(yàn)坐擁PWN大神,對(duì)戰(zhàn)得分普遍較高。
中培提示 培訓(xùn)課程實(shí)戰(zhàn)模塊完整覆蓋,講師乃PWN大神一枚。 -
以賽代練 快速學(xué)習(xí)
CTF競賽以實(shí)戰(zhàn)為導(dǎo)向,需要在日常實(shí)戰(zhàn)訓(xùn)練中,不斷總結(jié)和積累,不論是對(duì)技術(shù),還是臨場應(yīng)變能力都有極大幫助,特別是對(duì)快速學(xué)習(xí)能力提升效果最為顯著。
中培提示 無論模擬資源還是對(duì)戰(zhàn)訓(xùn)練,資源多的不要不要的! -
吸取經(jīng)驗(yàn) 學(xué)習(xí)思路
CTF競賽經(jīng)過多年的沉淀,有一些解題思路和攻防賽的對(duì)抗技巧是可以借鑒的。不僅能極大提升解題賽效率,同時(shí)在對(duì)戰(zhàn)階段培養(yǎng)學(xué)員發(fā)散性的解題思路。
中培提示 講師經(jīng)驗(yàn)豐富,我們看重First Blood。 -
多做多練 舉一反三
刷過幾套題之后,你會(huì)發(fā)現(xiàn)有些知識(shí)點(diǎn)的題目,都有著一些共性。對(duì)知識(shí)點(diǎn)能擴(kuò)展的方向做到了然于胸。
中培提示 不僅有題庫,數(shù)量還很多,題型很靠譜。
你的CTF團(tuán)隊(duì)是否存在這些問題?
-
團(tuán)隊(duì)技術(shù)落后
隊(duì)員對(duì)于目前主流攻防技術(shù)整體不掌握,或在部分技術(shù)中處于弱勢。
-
隊(duì)伍技術(shù)能力中庸
隊(duì)員技術(shù)基礎(chǔ)不錯(cuò),沒有明顯短板,但缺乏摧城拔寨的手段。
-
臨場應(yīng)變能力差
缺乏對(duì)新知識(shí)快速學(xué)習(xí)能力,理論付諸實(shí)踐轉(zhuǎn)化能力差。
-
解題思路閉塞
遇到復(fù)雜題目或生題時(shí),解題思路呆板,缺乏發(fā)散理性的推導(dǎo)能力。
-
解題賽成績差
知識(shí)廣度不足,題型變化了解不夠,不掌握答題技巧。
-
攻防賽成績差
攻擊缺乏有效的滲透手段,防御沒有針對(duì)性。
參與CTF競賽能解決企業(yè)哪些根本的問題?
-
01. 產(chǎn)品研發(fā)迭代缺乏新技術(shù)支撐
利用實(shí)戰(zhàn)、比賽中經(jīng)驗(yàn),研究數(shù)據(jù)分析,設(shè)計(jì)AI算法,以及網(wǎng)絡(luò)安全防御產(chǎn)品。
-
02. 安全團(tuán)隊(duì)技術(shù)能力不成熟
任何企業(yè)都存在未被掌控的安全風(fēng)險(xiǎn)點(diǎn),只有通過實(shí)戰(zhàn)不斷提升團(tuán)隊(duì)技術(shù)能力,才能提高漏洞發(fā)現(xiàn)門檻。
-
03. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)薄弱
沒有意識(shí)到一些行為操作,將給企業(yè)帶來網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。只有更多的接觸網(wǎng)絡(luò)攻擊手段,才能提高防范意識(shí),不留可乘之機(jī),更有效的保護(hù)自己。
-
04. 資金壓力大沒錢做推廣
團(tuán)隊(duì)剛成立,論技術(shù)有,談理想也有。躊躇滿志做產(chǎn)品,唯獨(dú)囊中羞澀,沒錢推廣企業(yè)經(jīng)營步履維艱。
-
05. 洽談業(yè)務(wù)時(shí)沒有過硬技術(shù)背書
在國內(nèi),安全類技能認(rèn)證普遍存在“一英里寬一英尺深”情況下,過硬的CTF成績絕對(duì)是優(yōu)質(zhì)背書。
-
06. 沒有渠道接觸優(yōu)秀安全技術(shù)人才
企業(yè)通過以往渠道獲得優(yōu)秀安全技術(shù)人才,無異于撞大運(yùn)。并沒有穩(wěn)定可靠的途徑。
-
07. 對(duì)招聘安全技術(shù)人員工作能力不了解
簡歷呈現(xiàn)完美,面試對(duì)答如流,實(shí)際工作能力堪憂。
CTF競賽對(duì)個(gè)人提升有多大?
-
提升快速學(xué)習(xí)能力
CTF競賽試題范圍廣且靈活多變,需要學(xué)員在比賽過程中去學(xué)習(xí)和實(shí)踐。對(duì)于知識(shí)理解速度和理解能力有著極高挑戰(zhàn)。
-
提升技術(shù)認(rèn)知水平
CTF競賽試題難度大復(fù)雜程度高,需要從原理上去理解。這對(duì)于個(gè)人安全技術(shù)能力體系的豐富完善有著極大的幫助。
-
提升邏輯思考能力
CTF競賽不僅節(jié)奏快,而且比賽內(nèi)容復(fù)雜程度高。對(duì)于知識(shí)技術(shù)運(yùn)用極其綜合。要求選手時(shí)刻保持清晰的判斷和高效的分析能力。
-
提升實(shí)戰(zhàn)解決能力
CTF競賽其本質(zhì)是通過一系列技術(shù)手段應(yīng)用,和實(shí)際工作中對(duì)于網(wǎng)絡(luò)安全技術(shù)發(fā)展的思路完全吻合,而技術(shù)強(qiáng)度和難度更勝一籌。
-
提供進(jìn)階TOP級(jí)企業(yè)敲門磚
CTF競賽是國內(nèi)頂尖互聯(lián)網(wǎng)企業(yè),吸納優(yōu)質(zhì)網(wǎng)絡(luò)安全人才的重要手段。
-
提供企業(yè)級(jí)項(xiàng)目經(jīng)驗(yàn)技術(shù)積累
CTF競賽內(nèi)容源于實(shí)戰(zhàn)但高于工作日程接觸,對(duì)于重大項(xiàng)目中的網(wǎng)絡(luò)安全技術(shù)實(shí)施, 有著極高的借鑒價(jià)值。
關(guān)于CTF競賽授課內(nèi)容
- 01
- 02
- 03
- 04
- 05
- 06
-
CTF入門
1.CTF概念和入門
2.國內(nèi)外安全攻防比賽現(xiàn)狀
3.攻防比賽方式和題型介紹
4.安全培訓(xùn)基礎(chǔ)環(huán)境介紹和配置搭建
5.實(shí)訓(xùn)期間所需工具包和資料分發(fā)
6.操作系統(tǒng)命令和數(shù)據(jù)庫基礎(chǔ)
7.PHP和python程序入門
8.數(shù)據(jù)庫基礎(chǔ)入門和SQL語言簡述
9.網(wǎng)絡(luò)安全攻防滲透基礎(chǔ)知識(shí)(搜集、定點(diǎn)、攻擊等)
10.Linux安全基礎(chǔ)(基本命令、系統(tǒng)管理、反彈shell等)
11.Windows安全基礎(chǔ)(DOS/PS基本命令、用戶權(quán)限、AD、網(wǎng)絡(luò)協(xié)議等) -
數(shù)據(jù)隱寫
1.數(shù)據(jù)隱寫基礎(chǔ)和工具分發(fā)
2.隱寫比賽模式和題型分析
3.隱寫專項(xiàng)練習(xí):圖片隱寫、視頻隱寫、音頻隱寫、網(wǎng)絡(luò)協(xié)議隱藏、pdf隱寫、壓縮文件隱寫等MISC雜項(xiàng)
1.常見MISC雜項(xiàng)題目分析
2.網(wǎng)絡(luò)流量協(xié)議分析基礎(chǔ)
3.Wireshark工具實(shí)操
4.系統(tǒng)日志分析思路
5.社會(huì)工程學(xué)概念
6.其他技術(shù)點(diǎn)探討 -
密碼編碼
1.常見比賽密碼學(xué)題型分析
2.密碼編碼工具介紹和分發(fā)
3.密碼學(xué)理論基礎(chǔ)(凱撒、柵欄、莫斯等)
4.古典密碼學(xué)題型分析
5.編碼解碼基礎(chǔ)入門
6.常見編碼解碼題型分析密碼學(xué)進(jìn)階
1.現(xiàn)代密碼學(xué)入門
2.算法加解密原理
3.題型分析和關(guān)鍵代碼學(xué)習(xí)
4.其他算法介紹綜合訓(xùn)練
1.隱寫技術(shù)復(fù)習(xí)
2.密碼學(xué)復(fù)習(xí)
3.題目答疑解惑
4.雜項(xiàng)題目實(shí)操 -
WEB基礎(chǔ)
1.Web漏洞基礎(chǔ)和工具介紹
2.WEB爆破和burp實(shí)操
3.任意文件下載和信息泄露
4.文件上傳和文件解析漏洞分析
5.XSS跨站攻擊(反射、存儲(chǔ)、DOM)靶場實(shí)操
6.命令執(zhí)行原理和OS命令強(qiáng)化
7.代碼執(zhí)行和PHP代碼強(qiáng)化
8.XXE原理分析和賽題解析SQLI提高
SQL注入基礎(chǔ)(原理、工具、SQLMAP等) SQL注入進(jìn)階(報(bào)錯(cuò)、盲注、聯(lián)合、寬字節(jié)、二階注入、二次編碼等注入)
WEB強(qiáng)化
1.PHP反序列化題型分析
2.SSRF原理和題型分析
3.弱類型技術(shù)原理
4.變量覆蓋和條件競爭
5.文件包含強(qiáng)化(偽協(xié)議、結(jié)合上傳、結(jié)合XSS等)
6.SSTI模板注入分析(flask等框架介紹)代碼審計(jì)
1.python安全編程與代碼審計(jì)
2.PHP安全編程與代碼審計(jì)
3.Java、JSP安全編程與代碼審計(jì)
4.代碼審計(jì)工具和真題分析實(shí)操練習(xí)
典型題目實(shí)操練習(xí)和指導(dǎo)
-
逆向工程
1.逆向工程入門
2.匯編語言基礎(chǔ)和關(guān)鍵語句詳解
3.PE格式介紹和X86/X64平臺(tái)原理
4.靜態(tài)分析和動(dòng)態(tài)調(diào)試工具介紹
5.代碼和數(shù)據(jù)結(jié)構(gòu)分析
6.逆向題目技術(shù)點(diǎn)分析和題型介紹
7.Android基礎(chǔ)和逆向題型
8.逆向題目實(shí)操和技能強(qiáng)化
9.【PWN入門和題型概述】(酌情) -
CTF模擬訓(xùn)練
個(gè)人奪旗戰(zhàn)和AWD攻防混戰(zhàn)(0.5天)
CTF解題賽
(提供賽題和比賽平臺(tái),1.5天)
京公網(wǎng)安備11010602007294號(hào) 增值電信業(yè)務(wù)經(jīng)營許可證:京B2-20201348