广州网站改版 网站建设如何自己创作一个游戏

广州网站改版 网站建设,如何自己创作一个游戏,安徽省住房城乡建设厅门户网站,重庆网站建设模板【强烈建议收藏】CTF竞赛全方位解析#xff1a;零基础学习网络安全的最佳实践 CTF(Capture The Flag)是网络安全领域的技术竞技比赛#xff0c;主要分为解题、攻防、混合和战争分享四种模式。题型涵盖Web、逆向、Pwn、密码学、隐写、杂项和编程等方向#xff0c;全面考察参…【强烈建议收藏】CTF竞赛全方位解析零基础学习网络安全的最佳实践CTF(Capture The Flag)是网络安全领域的技术竞技比赛主要分为解题、攻防、混合和战争分享四种模式。题型涵盖Web、逆向、Pwn、密码学、隐写、杂项和编程等方向全面考察参赛者的网络安全技能。文章提供了详细的学习路径包括知识地图、参考书籍、在线平台、CTF赛事和工具资源为零基础学习者提供了系统化的入门指南。[1]1 CTF简介CTFCapture The Flag中文一般译作夺旗赛在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今已经成为全球范围网络安全圈流行的竞赛形式而DEFCON作为CTF赛制的发源地DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛类似于CTF赛场中的“世界杯” 。[2]2 CTF比赛模式[3]2.1 解题模式(Jeopardy)在解题模式CTF赛制中参赛队伍可以通过互联网或者现场网络参与这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似以解决网络安全技术挑战题目的分值和时间来排名通常用于在线选拔赛。不同的是这个解题模式一般会设置一血、二血、三血也即最先完成的前三支队伍会获得额外分值所以这不仅是对首先解出题目的队伍的分值鼓励也是一种团队能力的间接体现。当然还有一种流行的计分规则是设置每道题目的初始分数后根据该题的成功解答队伍数来逐渐降低该题的分值也就是说如果解答这道题的人数越多那么这道题的分值就越低。最后会下降到一个保底分值后便不再下降。题目类型主要包含Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全以及Misc 安全杂项这六个类别。举例比如[4]2.2 攻防模式(Attack and Defense)[5]2.2.1 概述攻防模式常见于线下决赛。在攻防模式中初始时刻所有参赛队伍拥有相同的系统环境包含若干服务可能位于不同的机器上常称gamebox参赛队伍挖掘网络服务漏洞并攻击对手服务获取 flag 来得分修补自身服务漏洞进行防御从而防止扣分一般来说防御只能避免丢分当然有的比赛在防御上可以得分攻防模式CTF赛制可以实时通过得分反映出比赛情况最终也以得分直接分出胜负是一种竞争激烈具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中不仅仅是比参赛队员的智力和技术也比体力因为比赛一般都会持续48小时及以上同时也比团队之间的分工配合与合作。一般比赛的具体环境会在开赛前一天或者当天开赛前半小时由比赛主办方给出是一份几页的小文档。在这一段时间内你需要根据主办方提供的文档熟悉环境并做好防御。在比赛开始前半小时这半小时内是无法进行攻击的各支队伍都会加紧熟悉比赛网络环境并做好防御准备。至于敌方 Gamebox 的 IP 地址则需要靠你自己在给出网段中发现。如果是分为上午下午两场攻防赛的话那么上午和下午的 Gamebox 漏洞服务会更换避免比赛中途休息时选手交流但管理时要用的 IP 地址等信息不会改变。也就是下午会换新题。一般情况下主办方会提供网线但并不会提供网线转接口所以需要自备。[6]2.2.2 基本规则攻防模式一般的规则如下战队初始分数均为 x 分比赛以 5/10 分钟为一个回合每回合主办方会更新已放出服务的 Flag每回合内一个战队的一个服务被渗透攻击成功被拿 Flag 并提交则扣除一定分数攻击成功的战队平分这些分数。每回合内如果战队能够维护自己的服务正常运行则分数不会减少如果防御成功加分则会加分如果一个服务宕机或异常无法通过测试则可能会扣分服务正常的战队平分这些分。往往服务异常会扣除较多的分数。如果该回合内所有战队的服务都异常则认为是不可抗拒因素造成分数都不减少。每回合内服务异常和被拿 Flag 可以同时发生即战队在一个回合内单个服务可能会扣除两者叠加的分数。禁止队伍使用通用防御方法请参赛队伍在比赛开始时对所有服务进行备份若因自身原因导致服务永久损坏或丢失无法恢复主办方不提供重置服务禁止对赛题以外的比赛平台发起攻击包括但不限于在 gamebox 提权 root、利用主办方平台漏洞等违规者立刻被取消参赛资格参赛队伍如果发现其他队伍存在违规行为请立刻举报主办方会严格审核并作出相应判罚。[7]2.2.3 网络环境文档上一般都会有比赛环境的网络拓扑图如下图每支队伍会维护若干的Gamebox己方服务器Gamebox 上部署有存在漏洞的服务。文档上会包括选手攻防环境主办方三者的环境。选手需要在个人电脑上配置或者 DHCP 自动获取IP 地址网关掩码 DNS 服务器地址攻防环境Gamebox 所处地址包括己方和其他队伍的地址。比赛一般会提供队伍的 id 与对应 ip 的映射表以便于让选手指定恰当的攻防策略。主办方环境比赛答题平台提交 flag 接口流量访问接口[8]2.2.4 访问 Gamebox参赛文档中会给出队伍登录 gamebox 的方式一般来说如下用户名为 ctf一般会通过 ssh 登录登录方式为密码或者私钥。自然在登录上战队机器后应该修改所有的默认密码同时不应该设置弱密码。[9]2.2.5 比赛的一些策略在比赛过程中不宜死耗在一道题上由于一血的优势性在比赛过程中更应该全面了解赛题难度先从简单题开始进行分析步步为营。比赛过程中两极会严重分化。应该着力打击和自己实力相当和比自己队伍更强的队伍尤其是分数相差无几的情况下更要严防严守。比赛中 NPC 会不定时发出攻击流量。从攻击流量中可以得到 payload。一定要把 NPC 往死里打。在开赛初可以将所有的管理密码都设置为同一个密码这样方便队员登录管理。在初期将所有文件备份下来供队内分享。[10]2.3 混合模式(Mix)结合了解题模式与攻防模式的CTF赛制比如参赛队伍通过解题可以获取一些初始分数然后通过攻防对抗进行得分增减的零和游戏最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。[11]2.4 战争分享模式(Belluminar)[12]2.4.1 赛制介绍如官网介绍这样BELLUMINAR CTF 赛制由受邀参赛队伍相互出题挑战并在比赛结束后分享赛题的出题思路学习过程以及解题思路等。战队评分依据出题得分解题得分和分享得分进行综合评价并得出最终的排名。[13]2.4.2 出题阶段首先各个受邀参赛队伍都必须在正式比赛前出 2 道 Challange。参赛队伍将有 12 周的时间准备 Challenge。出 Challenge 的积分占总分的 30%。传统的 BELLUMINAR 赛制要求出的两道 Challenge 中一道 Challenge 必须是在 Linux 平台另外一个 Challenge 则为非 Linux 平台。两个 Challenge 的类型没有做出限制。因此队伍可以尽情展现自己的技术水平。为使比赛 Challenge 类型比较均衡也有采用队伍抽签出 Challenge 的方式抽取自己的 Challenge这要求队伍能力水平更为全面因此为了不失平衡性也会将两道 Challenge 的计入不同分值比如要求其中一道 Challenge 分值为 200而另外一道分值则为 100。[14]2.4.3 提交部署题目提交截止之前各个队伍需要提交完整的文档以及解题 Writeup文档中要求详细标明题目分值题面出题负责人考察知识点列表以及题目源码。而解题 Writeup 中则需要包含操作环境完整解题过程以及解题代码。题目提交之后主办方会对题目和解题代码进行测试如果期间出现问题则需要该题负责人配合以解决问题。最终放到比赛平台上。[15]2.4.4 解题竞技进入比赛后各支队伍可以看到所有其他团队出的题目并发起挑战但是不能解答本队出的题目不设 First Blood 奖励根据解题积分进行排名。解题积分占总分的 60%。比赛结束后队伍休息并准备制作分享 PPT也可以在出题阶段准备好。分享会时各队派 2 名队员上台分享出题解题思路学习过程以及考察知识点等。[16]2.4.5 计分规则出题积分占总分 30%有 50% 由评委根据题目提交的详细程度完整度提交时间等进评分另外 50% 则根据比赛结束后的最终解题情况进行评分。计分公式示例 Score MaxScore – | N – ExpectN | 。N 代表解出该题的队伍数量而 ExpectN 则是这道题预期解出的题目数量。只有当题目难度适中解题队伍数量越接近预期数量 ExpectN则这道题的出题队伍得到的出题积分越高。解题积分占总积分 60%在计算时不考虑 First Blood 奖励。分享积分占 10%由评委和其他队伍根据其技术分享内容进行评分得出考虑分享时间以及其他限制会计算平均值。[17]3 CTF各大题型简介[18]3.1 MISC(安全杂项)全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等覆盖面比较广。我们平时看到的社工类题目给你一个流量包让你分析的题目取证分析题目都属于这类题目。主要考查参赛选手的各种基础综合知识考察范围比较广。[19]3.2 REVERSE(逆向)题目涉及到软件逆向、破解技术等要求有较强的反汇编、反编译扎实功底。需要掌握汇编堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。[20]3.3 WEB(web类)WEB应用在今天越来越广泛也是CTF夺旗竞赛中的主要题型题目涉及到常见的Web漏洞诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目至少会有一层的安全过滤需要选手想办法绕过。且Web题目是国内比较多也是大家比较喜欢的题目。因为大多数人开始安全都是从web日站开始的。[21]3.4 PWN(溢出)PWN在黑客俚语中代表着攻破取得权限在CTF比赛中它代表着溢出类的题目其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中线上比赛会有但是比例不会太重进入线下比赛逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。[22]3.5 CRYPTO(密码学)全称Cryptography。题目考察各种加解密技术包括古典加密技术、现代加密技术甚至出题者自创加密技术。实验吧“角斗场”中这样的题目汇集的最多。这部分主要考查参赛选手密码学相关知识点。[23]3.6 STEGA(隐写)全称Steganography。题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等可能是修改了这些载体来隐藏flag也可能将flag隐藏在这些载体的二进制空白位置。有时候需要你侦探精神足够的强才能发现。此类题目主要考查参赛选手的对各种隐写工具、隐写算法的熟悉程度。实验吧“角斗场”的隐写题目是比较全的以上说到的都有涵盖。新手们可以从此入门。[24]3.7 PPC(编程类)全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写批量处理等有时候用编程去处理问题会方便的多。当然PPC相比ACM来说还是较为容易的。这部分主要考察选手的快速编程能力。[25]4 CTF分工合作常规方向A方向PWN RE CRYPTOB方向WEB STEGA MISCMISCPPC 所有人都需要有一个基本的了解和掌握[26]5 CTF学习参考[27]5.1 知识地图[28]5.2 参考书籍A方向逆向工程核心原理恶意代码分析实战RE for BeginnersIDA Pro权威指南加密与解密B方向Web应用安全权威指南[29]5.3 相关网站[30]5.3.1 学习路线知道创宇研发技能表 v3.1漏洞银行 (BUGBANK) 技能树安全技能树简版 by 余弦安全类思维导图 by phith0n信息安全从业者书单推荐[31]5.3.2 在线学习攻防世界: 新手入门推荐的刷题网站包含CTF题型中的大部分i 春秋 - 专业的网络安全 | 信息安全在线学习培训平台实验吧让实验更简单看雪知识库[32]5.3.3 信息资讯FreeBuf.COM | 关注黑客与极客安全客 - 有思想的安全新媒体嘶吼 RoarTalk – 回归最本质的信息安全Sec-News 安全文摘互联网安全媒体FreeBuf知道创宇15PB 信息安全教育t00ls.net[33]5.3.4 技术论坛吾爱破解看雪论坛先知社区i 春秋论坛[34]5.3.5 CTF赛事XCTF 社区: 全球赛事资讯积分排名技术分享CTFtimeCTF Rank[35]5.3.6 CTF OJXCTF OJCTF 大本营pwnhub南邮网络攻防训练平台HackingLab 网络信息安全攻防学习平台BugkuCTFWeChallSniper OJJarvis OJCTF LearnHackme CTFPractice CTF List[36]5.3.7 本地靶场SQLi: https://github.com/Audi-1/sqli-labsDVWA: https://github.com/ethicalhack3r/DVWAmetsploitable3: https://github.com/rapid7/metasploitable3/Webgoat: https://github.com/WebGoat/WebGoatJuiceshop: https://github.com/bkimminich/juice-shop[37]5.3.8 CTF 工具看雪工具吾爱破解工具CTF 在线工具 by CTFcodeCTF 在线工具箱 by bugkuCTF 工具资源库 by HBCTF teamctf-tools by zardusThe Cyber Swiss Army Knife[38]5.3.9 CTF WritupCTFs Writeup 集锦CTF solution by p4 team[39]5.3.10 漏洞复现Vulhub: https://github.com/vulhub/vulhub互动话题如果你想学习更多**网络安全方面**的知识和工具可以看看以下面给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |**【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享**安全链接放心点击**!如果二维码失效可以点击下方链接去拿一样的哦**读者福利 |**【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享**安全链接放心点击**!