ctf的本质是什么?
▍ctf的本质是什么?
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。一般是团队赛,每个人主攻一个方向的。
简单的ctf你百度搜一下就可以扫盲了,就不说了。我觉得比较重点的是,你打ctf的话,你要先选择好你的主攻方向是哪个。CTF的主攻方向有以下六个方向,我有简单介绍,并给你推荐部分学习路线。
Reverse
题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译功底。主要考查参赛选手的逆向分析能力。
所需知识:汇编语言、加密与解密、常见反编译工具
Pwn
CTF 中的 PWN 题型通常会直接给定一个已经编译好的二进制程序(Windows 下的 EXE 或者 Linux 下的 ELF 文件等),然后参赛选手通过对二进制程序进行逆 向分析和调试来找到利用漏洞,并编写利用代码,通过远程代码执行来达到溢出 攻击的效果,最终拿到目标机器的 shell 夺取 Flag。
Pwn 在黑客俚语中代表着攻破,获取权限,在 CTF 比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。
所需知识:C,OD+IDA,数据结构,操作系统
下面分享一个pwn的学习路线:
Crypto
题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见编码解码,主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
所需知识:矩阵、数论、密码学
Web
CTF- Web 是 CTF 的主要题型,CTF-Web必备技能:SQL注入、文件操作、命令执行、反序列化、服务端模板注入、服务端请求伪造、跨站脚本攻击、XML外部实体注入、CTF技巧-PHP、CTF技巧-Node、CTF技巧-Python等。也有一些简单的关于网络基础知识的考察,如返回包、TCP/IP、数据包内容和构造。可以说题目环境比较接近真实环境。
所需知识:PHP、Python、TCP/IP、SQL
下面分享一个web的学习路线:
找到一个超级nice的入门web安全课程
0基础学习web安全,点击即可报名mp.weixin.qq.com/s/whqNJ_ZyHRTvARfa-S11WQ
Misc
Misc 即安全杂项,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。
所需知识:常见隐写术工具、Wireshark 等流量审查工具、编码知识
下面分享一个misc的学习路线:
Mobile
主要分为 Android 和 iOS 两个平台,以 Android 逆向为主,破解 APK 并提交正确答案。
所需知识:Java,Android 开发,常见工具
CTF的各个方向都是不同的,如果是入门的话,会比较推荐以web或者misc方向作为主攻方向。web主要是网站,就会相对比较简单的。misc杂项的话,它的知识是最广的,但是趣味性是最强的,题目贴近生活,所以也是比较好入门的。如果你编程基础很好,对二进制也很感兴趣的话,会比较建议你选pwn或者逆向方向。pwn的得分在比赛里面是最高的。
▍ctf的本质是什么?
我认为本质是竞技与学习吧,CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。在整个比赛过程中既要每个选手拥有某个方向的漏洞挖掘能力,也要同队选手之间的相互配合才可以。可以去i春秋那边看看,他们通过丰富的教学经验和专业的线上赛举办实战经验,研发了基于“CTF竞赛”模式的演武场培训平台, 充分感受“本质”
▍ctf的本质是什么?
ctf本质上是把现实工作中的一些情景抽丝剥茧,再通过出题人的组合,希望能让ctfer通过题目了解多个知识点的竞赛,很实际,坚持下来收获会很大。
------------------
推荐阅读:
我外甥写网文月收入一两万左右,我姐想让他安心读书,俩人吵得很凶,来问我的意见,我该怎么说?