黑客之间的竞技“运动”

  黑客之间的竞技“运动”

  2018年10月27日，浙江省首届大学生网络与信息安全竞赛将在杭州展开，经浙江省大学生网络与信息 安全竞赛委员会研究决定，拟定分别于 2018 年 10 月 27 日和 11 月 4 日在杭州电子科技大学举办浙江省首届大学生网络与信息安全竞赛预赛和决赛。

  活动主要围绕CTF的形式进行计算机网络技术、Web 安全、逆向分析、移动安全、二进制漏洞挖掘利用、密码学、安全编程等范围的竞赛。

  那么活动中的CTF讲的究竟是什么呢？现在让网络安全通来好好的让大家了解一下CTF吧。

  CTF（Capture The Flag，夺旗赛）

  起源于 1996 年DEFCON全球黑客大会，是网络安全爱好者之间的竞技游戏。

起源

  CTF 的前身是传统黑客之间网络技术比拼的游戏，起源于 1996 年第四届 DEFCON。

早期 CTF 竞赛

  最开始的 CTF 比赛（1996 年-2001 年），没有明确的比赛规则，没有专业搭建的比赛平台与环境。由参数队伍各自准备比赛目标（自己准备的比赛目标自己防守并要尝试攻破对方提供的比赛目标）。而组织者大都只是一些非专业的志愿者，接受参赛队伍请求手工计分。

  没有后台自动系统支持和裁判技术能力认定，计分延迟和误差以及不可靠的网络和不当的配置，导致比赛带来了极大的争论与不满。

「现代」CTF 竞赛

  由专业队伍承担比赛平台、命题、赛事组织以及自动化积分系统。参赛队伍需提交参赛申请，由 DEFCON 会议组织者们进行评选。

竞赛内容

  因为 CTF 的考题范围其实比较宽广，目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话，主要还是依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全 以及Misc 安全杂项 来进行分类。

全国大学生信息安全竞赛 - 竞赛内容

  2016 年全国大学生信息安全竞赛开始设立创新实践技能赛，采取的就是传统的 CTF 赛制。在《2016 年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面，值得参考。

1.    系统安全。涉及操作系统和 Web 系统安全，包括 Web 网站多种语言源代码审计分析（特别是 PHP）、数据库管理和 SQL 操作、Web 漏洞挖掘和利用（如 SQL 注入和 XSS）、服务器提权、编写代码补丁并修复网站漏洞等安全技能。

2.   软件逆向。涉及 Windows/Linux/Android 平台的多种编程技术，要求利用常用工具对源代码及二进制文件进行逆向分析，掌握 Android 移动应用 APK 文件的逆向分析，掌握加解密、内核编程、算法、反调试和代码混淆技术。

3.    漏洞挖掘和利用。掌握C/C++/Python/PHP/Java/Ruby/汇编 等语言，挖掘 Windows/Linux（x86/x86＿64 平台）二进制程序漏洞，掌握缓冲区溢出和格式化字符串攻击，编写并利用 shellcode。

4.    密码学原理及应用。掌握古典密码学和现代密码学，分析密码算法和协议，计算密钥和进行加解密操作。

5.   其他内容。包括信息搜集能力，编程能力、移动安全、云计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证（Forensics）技术和文件恢复技能，计算机网络基础以及对网络流量的分析能力。

做为CTF小白用户，跳过的坑真心不少，加密、隐写、逆向破解和web这几个方向的坑，基本是跳一个栽一个。不过还是靠着线上模拟平台，终于成功脱坑，技术也越来越熟练。

向大家推荐网络安全通这个平台，上面提供了相应的CTF在线课程，感兴趣的小伙伴们可以登录学习相关的课程。

https://www.sectown.cn/

可以登录感兴趣的网址进行学习

最全Kali Linux教程

https://www.sectown.cn/course/51

无线攻防课程

https://www.sectown.cn/course/56

getshell的各种姿势

https://www.sectown.cn/course/64

逻辑漏洞实战

https://www.sectown.cn/course/62

接下来线下也会开展相应的CTF培训课程，想参加的小伙伴可以持续关注我们的动态哦~