CTF競賽模式有哪些?
-
參賽隊伍在單位時間內以解題數量多少來衡量成績,題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等內容。
-
參賽隊伍通過挖掘網絡服務漏洞并攻擊對手獲得分數,同時通過修復自身服務漏洞,限制對手得分。
-
參賽隊伍通過解題可以獲取一些初始分數,然后通過攻防對抗進行得分增減的零和游戲,最終以得分高低分出勝負。
參加CTF競賽應該具備哪些技能?
- CTF以團隊為競賽單位,要求隊員間技術互補,且至少精通一種競賽題型
- 01
WEB滲透測試
- 02
CRYPTO密碼學
- 03
PWN二進制漏洞利用
- 04
REVERSE逆向工程
- 05
MISC雜項流量分析
CTF競賽題型有哪些?
-
基礎知識
競賽基礎知識,以綜合解決方案的形式來體現知識內容,涉及數據庫基礎,網絡安全基礎、操作系統基礎等。
-
MISC
安全雜項,題目涉及流量分析、電子取證、人肉搜索、數據分析、大數據統計等等,覆蓋面比較廣。
-
PPC
源代碼,題目涉及到程序編寫、編程算法實現。算法的逆向編寫,批量處理等。
-
CRYPTO
密碼學,題目考察各種加解密技術,包括古典加密技術、現代加解密技術甚至出題者自創加密技術。
-
PWN
在黑客中代表攻破,取得權限,CTF比賽中代表著溢出類題目,其中常見類型溢出漏洞有棧溢出,堆溢出。
-
REVERSE
逆向工程,涉及到軟件逆向、破解技術等,要求有較強的反匯編、反編譯扎實功底。
-
WEB
WEB是CTF奪旗競賽中主要題型,涉及到常見的Web漏洞,諸如注入、XSS、文件包含、代碼執行、上傳等漏洞。
-
STEGA
隱寫術,題目的Flag會隱藏到圖片、音頻、視頻等各類數據載體中供參賽選手獲取。
都說CTF競賽含金量高 究竟難在哪兒?
-
01
CTF競賽題目綜合性強
題型涉及范圍廣 -
02
CTF競賽題目靈活性強
解題思路不唯一 -
03
CTF競賽題目復雜度高
出題者標榜技術 -
04
CTF競賽題目隨意性強
偏題怪題很常見
CTF競賽想拿高分 該如何備戰?
-
提升短板 磨煉殺招
CTF競賽題型分成5個模塊,要求隊員至少精通一類模塊技術。隊伍不能有明顯技術短板,根據以往經驗坐擁PWN大神,對戰得分普遍較高。
中培提示 培訓課程實戰模塊完整覆蓋,講師乃PWN大神一枚。 -
以賽代練 快速學習
CTF競賽以實戰為導向,需要在日常實戰訓練中,不斷總結和積累,不論是對技術,還是臨場應變能力都有極大幫助,特別是對快速學習能力提升效果最為顯著。
中培提示 無論模擬資源還是對戰訓練,資源多的不要不要的! -
吸取經驗 學習思路
CTF競賽經過多年的沉淀,有一些解題思路和攻防賽的對抗技巧是可以借鑒的。不僅能極大提升解題賽效率,同時在對戰階段培養學員發散性的解題思路。
中培提示 講師經驗豐富,我們看重First Blood。 -
多做多練 舉一反三
刷過幾套題之后,你會發現有些知識點的題目,都有著一些共性。對知識點能擴展的方向做到了然于胸。
中培提示 不僅有題庫,數量還很多,題型很靠譜。
你的CTF團隊是否存在這些問題?
-
團隊技術落后
隊員對于目前主流攻防技術整體不掌握,或在部分技術中處于弱勢。
-
隊伍技術能力中庸
隊員技術基礎不錯,沒有明顯短板,但缺乏摧城拔寨的手段。
-
臨場應變能力差
缺乏對新知識快速學習能力,理論付諸實踐轉化能力差。
-
解題思路閉塞
遇到復雜題目或生題時,解題思路呆板,缺乏發散理性的推導能力。
-
解題賽成績差
知識廣度不足,題型變化了解不夠,不掌握答題技巧。
-
攻防賽成績差
攻擊缺乏有效的滲透手段,防御沒有針對性。
參與CTF競賽能解決企業哪些根本的問題?
-
01. 產品研發迭代缺乏新技術支撐
利用實戰、比賽中經驗,研究數據分析,設計AI算法,以及網絡安全防御產品。
-
02. 安全團隊技術能力不成熟
任何企業都存在未被掌控的安全風險點,只有通過實戰不斷提升團隊技術能力,才能提高漏洞發現門檻。
-
03. 網絡安全風險意識薄弱
沒有意識到一些行為操作,將給企業帶來網絡安全風險。只有更多的接觸網絡攻擊手段,才能提高防范意識,不留可乘之機,更有效的保護自己。
-
04. 資金壓力大沒錢做推廣
團隊剛成立,論技術有,談理想也有。躊躇滿志做產品,唯獨囊中羞澀,沒錢推廣企業經營步履維艱。
-
05. 洽談業務時沒有過硬技術背書
在國內,安全類技能認證普遍存在“一英里寬一英尺深”情況下,過硬的CTF成績絕對是優質背書。
-
06. 沒有渠道接觸優秀安全技術人才
企業通過以往渠道獲得優秀安全技術人才,無異于撞大運。并沒有穩定可靠的途徑。
-
07. 對招聘安全技術人員工作能力不了解
簡歷呈現完美,面試對答如流,實際工作能力堪憂。
CTF競賽對個人提升有多大?
-
提升快速學習能力
CTF競賽試題范圍廣且靈活多變,需要學員在比賽過程中去學習和實踐。對于知識理解速度和理解能力有著極高挑戰。
-
提升技術認知水平
CTF競賽試題難度大復雜程度高,需要從原理上去理解。這對于個人安全技術能力體系的豐富完善有著極大的幫助。
-
提升邏輯思考能力
CTF競賽不僅節奏快,而且比賽內容復雜程度高。對于知識技術運用極其綜合。要求選手時刻保持清晰的判斷和高效的分析能力。
-
提升實戰解決能力
CTF競賽其本質是通過一系列技術手段應用,和實際工作中對于網絡安全技術發展的思路完全吻合,而技術強度和難度更勝一籌。
-
提供進階TOP級企業敲門磚
CTF競賽是國內頂尖互聯網企業,吸納優質網絡安全人才的重要手段。
-
提供企業級項目經驗技術積累
CTF競賽內容源于實戰但高于工作日程接觸,對于重大項目中的網絡安全技術實施, 有著極高的借鑒價值。
關于CTF競賽授課內容
- 01
- 02
- 03
- 04
- 05
- 06
-
CTF入門
1.CTF概念和入門
2.國內外安全攻防比賽現狀
3.攻防比賽方式和題型介紹
4.安全培訓基礎環境介紹和配置搭建
5.實訓期間所需工具包和資料分發
6.操作系統命令和數據庫基礎
7.PHP和python程序入門
8.數據庫基礎入門和SQL語言簡述
9.網絡安全攻防滲透基礎知識(搜集、定點、攻擊等)
10.Linux安全基礎(基本命令、系統管理、反彈shell等)
11.Windows安全基礎(DOS/PS基本命令、用戶權限、AD、網絡協議等) -
數據隱寫
1.數據隱寫基礎和工具分發
2.隱寫比賽模式和題型分析
3.隱寫專項練習:圖片隱寫、視頻隱寫、音頻隱寫、網絡協議隱藏、pdf隱寫、壓縮文件隱寫等MISC雜項
1.常見MISC雜項題目分析
2.網絡流量協議分析基礎
3.Wireshark工具實操
4.系統日志分析思路
5.社會工程學概念
6.其他技術點探討 -
密碼編碼
1.常見比賽密碼學題型分析
2.密碼編碼工具介紹和分發
3.密碼學理論基礎(凱撒、柵欄、莫斯等)
4.古典密碼學題型分析
5.編碼解碼基礎入門
6.常見編碼解碼題型分析密碼學進階
1.現代密碼學入門
2.算法加解密原理
3.題型分析和關鍵代碼學習
4.其他算法介紹綜合訓練
1.隱寫技術復習
2.密碼學復習
3.題目答疑解惑
4.雜項題目實操 -
WEB基礎
1.Web漏洞基礎和工具介紹
2.WEB爆破和burp實操
3.任意文件下載和信息泄露
4.文件上傳和文件解析漏洞分析
5.XSS跨站攻擊(反射、存儲、DOM)靶場實操
6.命令執行原理和OS命令強化
7.代碼執行和PHP代碼強化
8.XXE原理分析和賽題解析SQLI提高
SQL注入基礎(原理、工具、SQLMAP等) SQL注入進階(報錯、盲注、聯合、寬字節、二階注入、二次編碼等注入)
WEB強化
1.PHP反序列化題型分析
2.SSRF原理和題型分析
3.弱類型技術原理
4.變量覆蓋和條件競爭
5.文件包含強化(偽協議、結合上傳、結合XSS等)
6.SSTI模板注入分析(flask等框架介紹)代碼審計
1.python安全編程與代碼審計
2.PHP安全編程與代碼審計
3.Java、JSP安全編程與代碼審計
4.代碼審計工具和真題分析實操練習
典型題目實操練習和指導
-
逆向工程
1.逆向工程入門
2.匯編語言基礎和關鍵語句詳解
3.PE格式介紹和X86/X64平臺原理
4.靜態分析和動態調試工具介紹
5.代碼和數據結構分析
6.逆向題目技術點分析和題型介紹
7.Android基礎和逆向題型
8.逆向題目實操和技能強化
9.【PWN入門和題型概述】(酌情) -
CTF模擬訓練
個人奪旗戰和AWD攻防混戰(0.5天)
CTF解題賽
(提供賽題和比賽平臺,1.5天)
京公網安備11010602007294號 增值電信業務經營許可證:京B2-20201348