ctf的本质是什么?
ctf的本质是什么?
-----
网友解答:
-----
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。一般是团队赛,每个人主攻一个方向的。
简单的ctf你百度搜一下就可以扫盲了,就不说了。我觉得比较重点的是,你打ctf的话,你要先选择好你的主攻方向是哪个。CTF的主攻方向有以下六个方向,我有简单介绍,并给你推荐部分学习路线。
Reverse
题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译功底。主要考查参赛选手的逆向分析能力。
所需知识:汇编语言、加密与解密、常见反编译工具
Pwn
CTF 中的 PWN 题型通常会直接给定一个已经编译好的二进制程序(Windows 下的 EXE 或者 Linux 下的 ELF 文件等),然后参赛选手通过对二进制程序进行逆 向分析和调试来找到利用漏洞,并编写利用代码,通过远程代码执行来达到溢出 攻击的效果,最终拿到目标机器的 shell 夺取 Flag。
Pwn 在黑客俚语中代表着攻破,获取权限,在 CTF 比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。
所需知识:C,OD+IDA,数据结构,操作系统
下面分享一个pwn的学习路线:
Crypto
题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见编码解码,主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
所需知识:矩阵、数论、密码学
Web
CTF- Web 是 CTF 的主要题型,CTF-Web必备技能:SQL注入、文件操作、命令执行、反序列化、服务端模板注入、服务端请求伪造、跨站脚本攻击、XML外部实体注入、CTF技巧-PHP、CTF技巧-Node、CTF技巧-Python等。也有一些简单的关于网络基础知识的考察,如返回包、TCP/IP、数据包内容和构造。可以说题目环境比较接近真实环境。
所需知识:PHP、Python、TCP/IP、SQL
下面分享一个web的学习路线:
找到一个超级nice的入门web安全课程
0基础学习web安全,点击即可报名mp.weixin.qq.com/s/whqNJ_ZyHRTvARfa-S11WQ
Misc
Misc 即安全杂项,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。
所需知识:常见隐写术工具、Wireshark 等流量审查工具、编码知识
下面分享一个misc的学习路线:
Mobile
主要分为 Android 和 iOS 两个平台,以 Android 逆向为主,破解 APK 并提交正确答案。
所需知识:Java,Android 开发,常见工具
CTF的各个方向都是不同的,如果是入门的话,会比较推荐以web或者misc方向作为主攻方向。web主要是网站,就会相对比较简单的。misc杂项的话,它的知识是最广的,但是趣味性是最强的,题目贴近生活,所以也是比较好入门的。如果你编程基础很好,对二进制也很感兴趣的话,会比较建议你选pwn或者逆向方向。pwn的得分在比赛里面是最高的。
-----
网友解答:
-----
这其实就是网络安全程序员之间的一种比赛的形式,看看谁能变成出更具有攻击性和防护性的程序的一种头脑游戏吧。
这作为网络安全程序员的一种锻炼编程技术的手段 我觉得其实也是挺不错的,我很赞成这样的游戏
-----
网友解答:
-----
ctf本质上是把现实工作中的一些情景抽丝剥茧,再通过出题人的组合,希望能让ctfer通过题目了解多个知识点的竞赛,很实际,坚持下来收获会很大。
------------------
推荐阅读:
当年老鱼费舍尔0.4秒“逆天改命”绝杀马刺,成为历史争议绝杀!究竟有没有存在超时?
本人女正在上厕所时,有男生故意闯进去。如果我举报他能被拘留吗?该如何保护自己?
上一篇:为什么被借钱的都是老实人?
下一篇: “说曹操,曹操就到”是怎么来的?
