什么是CTF?
CTF(Capture The Flag,夺旗赛)起源于 1996 年 DEFCON 全世界黑客大会,是网络安全兴趣者之间的竞技游戏。CTF触及众多行业,重点分为线上解题模、线下攻防模、其他。解题模式的题目类型重点包括 Web 网络攻防 、 RE 逆向工程 、 Pwn 二进制漏洞利用 、 Crypto 暗码攻击 、 Mobile 移动安全 以及 Misc 安全杂项 这六个类别。而在攻防模式下,所有参赛队伍持有相同的初始系统环境(包括若干服务,可能位置于区别的设备上),常叫作为 gamebox,参赛队伍挖掘网络服务漏洞并攻击对手服务获取 flag 来得分,修补自己服务漏洞进行防御从而防止扣分。更加多信息详见ctf-wiki 。 Web - 网络攻防:Web 安全中平常的漏洞,如 SQL 注入、XSS、CSRF、文件包括、文件上传、代码审计、PHP 弱类型等基本知识:网络通信、网络协议、编程语言PHP、MYSQL等Reverse Engineering - 逆向工程:软件守护、反编译、反调试、加壳脱壳技术术基本知识:汇编语言、加密与解密、平常反编译工具的运用Pwn - 二进制漏洞利用:二进制漏洞的发掘和利用Crypto - 暗码攻击:把握古典暗码学和现代暗码学,分析暗码算法和协议,计算密钥和进行加解密操作。Mobile - 移动安全:安卓逆向Misc - 安全杂项:重点包含信息搜集、编码分析、取证分析、隐写分析等CTF有什么用?
竞赛获奖,对评奖学金和保研都有帮忙找工作的助手,附上一张全景图
团队协作的经历怎样规划CTF学习?
0x1 学习编程语言,具备关联的编程能力,从研发的方向思考问题,同期提升研发效率 在线编程学习网站:菜鸟教程runoob、W3C关联书籍《Python核心编程(第3版)》 《PHP和MySQL Web研发(原书第5版)》《Head First HTML与CSS》《JavaScript高级程序设计》《Java入门123:一个老鸟的Java学习心得》0x2 把握基本知识,理解网络、操作系统等基本概念,认识平常的漏洞与分析利用办法。入门时不要图快,认识基本知识(最少必要知识)之后就要进行实践练习
从关联课程、训练平台进行入门学习,认识知识薄弱点,加强实践能力在线学习平台:i春秋、蓝桥云课(原实验吧)等训练平台:wargames、XCTF攻防世界等其他学习途径:网易云课堂、B站、极客学院阅读关联书籍网络知识:《图解HTTP协议》、《图解TCP/IP 第5版》、《HTTP权威指南》linux:《鸟哥的Linux私房菜 基本学习篇 第四版》 Web安全:《白帽子讲Web安全》、《代码审计:公司级Web代码安全架构》、《SQL注入攻击与防御(第2版)》 、《Web前端黑客技术揭秘》逆向:《加密与解密(第4版)》
0x3 把握关联工具的运用,提有效率
0x4 学习新兴技术,参与关联比赛,能力进阶更加多的必须自己去探索
在新闻平台上学习大佬的操作,认识其中的思路和技术参与比赛,加强自己综合实践能力,持续复盘,持续累积整理学习经验和技术细节,写有些技术博客进行分享;有些平台都有付费文案奖励计划,还能够同期获取有些物质奖励0x5 独立进行漏洞挖掘工作,向SRC或漏洞库上报漏洞信息撰写关联安全分析工具等其他参考列表 ctf-all-in-one 安全技能路线 - SecWiki 安全导图信息安全从业者书单举荐晓得创宇开发技能表v3.1-201
|