什么是ctf?
CTF(Capture The Flag),我们一般翻译为夺旗赛.
它的本意其实是是一种西方传统运动。
此游戏进行方式是由两队人马互相前往对方的基地夺旗,每队人马必须把敌方的旗从敌方的基地带回自己队伍的基地。通过"点数"获胜
而在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
通俗点来说就是黑客大赛.
CTF的由来
正如上文所说,CTF夺旗是源由古时军事战争而来的。
在战场上﹐军旗是象征了两军的战况。当有一方的军旗已被敌军夺取,或者是军旗已经落在地上的时候,都是代表了那一方的战败。双方的士兵都是以军旗的状况来判定战争的现况。
在鹰酱内战的时代﹐夺取敌军军旗或者是保卫自军军旗的士兵可以被颁发鹰酱的最高军事荣衔荣誉勋章。
但是由于1996年的DEFCON全球黑客大会,主办方杰夫·莫斯(Jeff Moss)采取了全新的比赛方式.
杰夫·莫斯(Jeff Moss),男,1975年出生,世界顶级黑客大会Defcon的创办人,美国国土安全咨询委员会顾问、ICANN(互联网名称与数字地址分配机构)首席安全官。
即谁能先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。
为了方便称呼,黑客把这样的内容称之为“Flag”。
同时因为该方式,良好的避免了各国黑客因为比拼在真实环境下黑入计算机而带来的损失.得到了很多业内大佬的支持.
比如:Pwn2Own黑客大赛就是由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解决方案提供商提供赞助的.而由杰夫·莫斯本人创立的Defcon,就是所有CTF中的世界杯.
在业内大佬支持下,CTF比赛得到了蓬勃的发展.至此,ctf夺旗由原本的战争游戏,彻底变成了黑客交流大会.
CTF咋个比法?
看到这里,你已经明白了CTF的由来,那么被誉为黑客大会的CTF到底咋个玩法呢?别急下面,我们一一揭晓!
CTF竞赛模式
首先CTF竞赛模式具体分为以下三类:
一、解题模式(Jeopardy)
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。
题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
二、攻防模式(Attack-Defense)
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。
在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
三、混合模式(Mix)
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。
采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
CTF竞赛内容
虽然CTF 的考题范围比较宽广,目前也没有太明确的规定界限说会考哪些内容。
但是就目前的比赛题型而言的话,主要还是依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全 以及 Misc 安全杂项 来进行分类。
关于这个我会做成专栏分享给大家!
1. Web - 网络攻防
主要介绍了 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,Web 安全中常见的题型及解题思路,提供了一些常用的工具。
Reverse Engineering - 逆向工程
主要介绍了逆向工程中的常见题型、工具平台、解题思路,进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。
Pwn - 二进制漏洞利用
Pwn 题目主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。
Crypto - 密码攻击
主要包括古典密码学和现代密码学两部分内容,古典密码学趣味性强,种类繁多,现代密码学安全性高,对算法理解的要求较高。
Mobile - 移动安全
主要介绍了安卓逆向中的常用工具和主要题型,安卓逆向常常需要一定的安卓开发知识,iOS 逆向题目在 CTF 竞赛中较少出现,因此不作过多介绍。
Misc - 安全杂项
以诸葛建伟翻译的《线上幽灵:世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点,内容主要包括信息搜集、编码分析、取证分析、隐写分析等。
这是最复杂的一项,但也是最好得分的一项.
好了,这基本上就是目前为止,关于CTF所有的比赛题目形式了.感谢大家的观看!
1️⃣网络安全零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》文末免费下载🎁
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 网络安全/黑客学习视频
因篇幅有限,仅展示部分资料
3️⃣网络安全源码合集+工具包
4️⃣网络安全面试题
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
