ctf入门篇-(1)

 昨天刚和我的伙伴萌一起学习,寒假找个教室很难,找个有空着电源的教室更难,找个能够电源线长度的就更加难找了,佩服那些小哥哥姐姐们,放寒假还在留宿学习。

学校的1X还是很快的,够我开直播最高画质,虽然他萌在我的直播一直口嗨。

 

1. CTF简介

        CTF(全称:是 Capture The Flag)中文一般译作夺旗赛,指网络安全技术人员之间进行技术竞技的一种比赛形式。
CTF  起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式  .

            

          1.主要分为三个主要模式:awd攻防模式,解题模式,混合模式,

             国内一般是先进行线上解题模式,来决定攻防模式人选,然后进入线下攻防模式。

          2.每个模式包括的绝大部分方向如下:

                        混合模式和解题模式几乎全部涉及

                        攻防模式多web和pwn

ctf入门篇-(1)_第1张图片

2.    方向介绍:

      1. web方向,主要就是有关对网站进行测试,常见的漏洞: 

             1. CSRF(全称:Cross-Site Request Forgery )

                    CSRF是利用了系统对页面浏览器的信任,进行逻辑绕过,比如变量覆盖,强弱比较,cookie,等令牌

             2.Sql Injiect(sql注入)前些年的漏洞之王:

                    根据数据库的各种sql语句 + 开发人员不进行输入过滤造成,(脱库)信息泄露,信息遗失,信息篡改,甚至直接被删掉数据库,来获取利益。

              3.XSS(Cross-site Script) :

                    也是由于开发人员没有进行过滤操作,再加上管理网站的人员几乎没有安全意识,而攻击者往Web页面里插入恶意html标签或者javascript代码,可以实现钓鱼,泄露cookie等等重要信息。

                      分为反射型XSS、持久型XSS和DOM XSS

              4.文件包含漏洞:

                    通过各种协议的作用,进行合理的信任绕过,恶意的任意文件读取,等等

               5.文件上传:

                    通过绕过文件类型检验,文件内容检验,而被注入大型,小型木马,被getshell,可以对服务器进行任何'合理'权限操作

                6.DDos攻击 分布式拒绝服务(Distributed Denial of service Attack):

                    这个攻击现在仍然难以解决,伤害非常高,通过协议的漏洞,造成服务器响应服务被长时间占用,当攻击规模庞大时造成服务器的瘫痪,不能进行正常功能。

                    现在做这个防御比较好的应该是阿里,曾经防过一次超大规模的DDOs攻击。            

                 

        2.Pwn方向:

                这个涉及溢出,包括C(C++)语言编程,计算机组成原理、操作系统、计算机网络、数据结构编译原理等

                主要包括:栈溢出,堆溢出,ROP,格式化字符串漏洞以及其他漏洞

 

 

 

 

好了今天先叙述到这……明天继续

 

你可能感兴趣的:(ctf)