CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
理论,杂项(MISC), WEB, PWN, 逆向等各种题目
学的不仅是技术更是梦想
团队模式,攻击相同环境的靶机
主要是WEB题型
只需攻击不用防御,越早拿到FLAG,获得的分数越高 !一台靶机通常会有多个flag, flag通常放在web根目录,桌面,C盘根目录, C:\windows\system32。 /, /tmp/, /home/等
参赛团队既是攻击者也是防御者
通常团队通过ssh管理靶机,只有web权限, flag每隔几分钟一轮,各队有自己的初始分数,flag被其他队拿到会扣分,反之得到他队flag会加分。
- 给出web网站,要求选手通过信息收集,挖掘漏洞,利用漏洞的方式获取目标权限或数据。
- sql注入,xss,文件上传,包含漏洞,xxe, ssrf, 命令执行, 代码审计,了解web安全测试的流程,刷题!
技能
- 攻击远程服务器服务TPOP
- 会提供服务程序的二进制文件
- 分析漏洞并写出exp
- 栈溢出,堆溢出
- 绕过保护机制(ASLR, NX等等)
技能
- 逆向,破解程序的算法来得到程序中的flag
- 对抗反调试,代码混淆等等
技能
- 主要考察选手对安卓和ios系统的理解
- 常给出一个安卓应用,要求选手通过分析算法,求解正确的输入(crackMe),对服务端通信进行分析,实现指定目标
技能
- 取证(wireshak),编解码,加解密,隐写,图片处理,压缩包,编程,不属于上述类别的题目统称为杂项
技能
常见的日志分析
网络流量抓取与分析
了解常见文件格式
哈希算法
分组密码及加密模式
RSA的原理与常见攻击方式
资讯
2012年约有20-30场知名的ctf国际赛事,每场国际ctf约有200-300支队伍得分,国内没有任何ctf赛事,几乎没有ctf选手,蓝莲花战队(blue-louts)开始了ctf的探索之路。
今天每年约有100+场国际ctf赛事
蓝莲花连续5次进入DEFCON CTF决赛
Oops获得Codegate CTF 2015冠军
b1oOp获得DEFCON CTF 2016亚军
在各个互联网企业挑起安全技术的大梁
- 腾讯七大安全实验室
- 阿里云/蚂蚁金服
- 百度安全
麻省理工(MIT), UCSB, 佐治亚理工
手机扫一扫
移动阅读更方便
你可能感兴趣的文章