谢邀。
其实我并没有参加过CTF比赛。而且我只对软件逆向感兴趣。
有人问过我CTF的题。然而和我平常做的逆向的事情并不是很相似。由于我只看过很少的CTF的逆向题目,所以我不妄下结论。
我做逆向是针对一个完整的软件系统,比之CTF的题目是要复杂的。要考虑的问题也要多很多。对于产业化的软件系统,要逆向还原它的源代码是很不容易的,工作量大。能够多人协作是最好的了。而我看到的CTF的代码,太短了,在还原逻辑上没有任何难度,可能算法求逆不是特别好做。但是,产业化的软件系统,算法很多都是采用工业强度的安全算法,理论性很强,很多都是没办法求逆。即使想找到某一个解,对于运算量也是有巨大的要求的。这些都是CTF没办法做到的强度,毕竟是为了比赛。
所以说,CTF比赛,可以参加,但是我却不是很赞同只研究这些和实际生产比较远的比赛。从这些比赛里很难上升到理论的高度去看待要解决的问题,因为在这些比赛里问题都是被简化了。从这些题目里面能看到编译与反编译理论的研究?逆向工程理论相对于正向工程来说不成熟,研究的人比较少,门槛也不小。从对于理论研究来说,CTF没有能力去发掘这些问题背后的理论。因为理论的研究是一个相当长的时间的积累,对于小小的比赛,时间太短了,所以局限就太大。对于推动理论研究,我就不看好了。
当然,这只是在软件逆向方面的看法。
就是想玩,当成游戏来看。哪有去想那么多意义,意义多了也就没意义咯。
首先我只是当过几次赛混,谈不上多么深入的了解与感悟。但我觉得你可以一开始把ctf理解为应试教育,有很多弊端,但无法否认它对于学习基础知识的用处。公司举办这个是宣传和发掘人才的需求吧
作为一个刚从小白成长起来的小黑,我对CTF比赛也有着自己的理解。初中前一直没有系统的接触过信息安全,只是看看类似于《黑客手册》之类的杂志,自己瞎搞。上了大学,如愿以偿的学到信息安全这个专业,大一开始参加CTF比赛。可以说CTF比赛是我系统学习所谓“黑客”的第一步,为了比赛(主要是加密和web),我会不停关注乌云,同时在了解各种加密什么的,还有就是开始学PYTHON。或许CTF比赛不一定可以提高技术,但对于我来说,或是对于和我类似的一群人,他让我们踏进了了信息安全这扇门。
还有,到目前为止有挺多公司举办CTF比赛了吧。
练好CTF还是很有意义的,起码你的综合水平会提高很快的!
网络给我们带来诸多便利的同时,也让电信诈骗获得了滋养的温床,钓鱼Wi-Fi、电信诈骗、网络勒索、帮忙砍价等网络安全问题日渐凸显。各种电信诈骗手段层出不穷,招数多、套路深,让人防不胜防。针对日益突出的网络安全问题,网络安全界的精英们也进行了各种赛事提高维护网络安全的技术水平,保障大家的用网安全。
通过 HT 可视化打造开发者技能竞赛的全景空间切换,浏览竞赛时的不同场景效果。界面通过俯瞰视角对竞赛的场景进行展示。为大家呈现赛事的规则和需要的辅助信息。
// 特效场景渲染
HT 支持多种方式的模型渲染,采用轻量化三维建模技术, 1:1 高仿真模拟,以三维场景为基础,2D 数据面板为辅,数字化展现整个竞技场。整体以科幻星球风格为主调,场景以太阳系环绕的视角展开,以太阳为中心,并增加光晕渲染效果,根据赛事数据四周环绕天体作为选手、赛题等信息。两边面板呈现比赛进行的各项信息。
// 关卡可视化模拟
2011年12月29日下午,继CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业有京东商城 、支付宝和当当网,其中京东及支付宝否认信息泄露,而当当则表示已经向当地公安报案。与云计算相关的网络安全影响值得注意,无论是公共的还是私人的云计算,因此人们想尽办法应对。
夺旗赛(Capture The Flag,CTF),是在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。起源于1996 年 DEFCON 全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。
CTF 的竞赛模式主要可分为三类:
一、解题模式(Jeopardy)
这种模式的 CTF 竞赛与 ACM 编程竞赛、信息学奥赛比较类似,题目主要包含逆向、漏洞挖掘与利用、Web 渗透、密码、取证、隐写、安全编程等类别。
二、攻防模式(Attack-Defense)
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
三、混合模式(Mix)
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
// 赛况信息可视化
计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。通过雷达图,多指标体系对比赛情况进行分析,更简洁方便、精确直观的体现较多的数据信息。实时展现比赛的情况,参赛者的答题时间、用时情况等等。以及通过接入实时数据展示积分榜单,动态更新选手得分数据,随时了解赛员们的当前排名情况。
// 事件列表
比赛中触发的事件都会在列表中滚动更新,记录赛事中关键节点,可以从列表中看到选手解题用时, 或者超出限定时间的淘汰广播,以及随机触发的附加题等特殊事件。
// 多种特效攻击形式
在夺旗赛中,除了积分榜单我们也可以通过场景中选手所处位置来辅助判断当前局势,选手成功解题飞船就会朝着太阳终点前行一步,特别是参赛队伍较多时,三维的虚拟战场能比排行榜更形象直观的体现当前战况以及各队伍之间的实力差距。选手解题失败被淘汰时,对应的飞船模型会被摧毁爆炸。
作为网络攻击的重要“集火点”,更多企业将自身网络安全能力的建设列为必备项,而以实战检验网络安全能力建设和查漏补缺也已成为行业共识。
APT攻击、个人隐私泄露、勒索软件、漏洞攻击(如最近让互联网“着火”的 Log4Shell漏洞),虚拟世界的威胁正以不容忽视的速度与强度入侵着真实世界。同时,数字化、云计算、新基建、元宇宙等理念的爆火也让网络安全走上发展“超车道”,国家网信办在2022年第一个工作日重磅发布的修订版《网络安全审查办法》,更是以强监管的态势将网络安全的重要性提升到国家层面。
从区块链节点伪造、到云计算空间逃逸、大数据隐私泄密、物联网设备后门,形形色色,无不面临着严峻的安全挑战。网络空间安全不仅关系到个人、校园、企业安全,更关系着社会稳定。攻击与守护,越来越多的网络安全技术爱好者和从业者走上这场看不见硝烟的战争。在真实对抗中不断提升守护之力已经成为安全行业发展的关键之道。
AD-Blind赛制区别于传统的网络拓扑实战竞赛模式,该赛制各队伍之间互为攻击方和防守方,且有共同的目标,但是对其网络结构、拓扑一无所知,参赛队伍需持续对目标进行攻击获取数据并维持权限避免其他未知攻击源进行窃取数据。该赛制更为贴近实战,是对传统赛制的改进与革新。
各参赛战队针对目标网站进行信息搜集,通过但不限于Web渗透、内网安全、逆向、二进制漏洞挖掘、社会工程学获取目标服务器权限,目标企业、人员数据。
深信服于2021年重磅启动首届“深育杯”网络安全大赛 ,专业竞赛分为线上初赛、线下决赛两个阶段,线上初赛采取CTF(夺旗赛)线上竞赛模式,线下决赛采用AD-Blind的竞赛模式。本次大赛定位于公益性网络安全竞赛标杆,竞赛以多种形式、不同赛道服务于全社会和各行业,力争实现模式创新、聚焦实践、资源共享、服务社会的重要意义。
线上初赛 共集结了来自全国各行业领域的1609支队伍、1017家高校及企业报名参赛, 其中948支战队成功签到。经过初赛的激烈角逐,遴选出30强队伍进入决赛,线下决赛将在2022年武汉国家网络安全基地举办。参与“深育杯”将获得更多权益:
有一点,至少是能让你可以成为一名安全研究者,而不是所谓的脚本小子,在这些比赛中你能学到很多知识,更多的是自己的研究和探索精神。
最近刚接触ctf,作为一个学生,周围也没有那么多的技术人员,在ctf上可以快速提高自己的能力,督促自己去学习
just a game.
抱着玩的心态去参加比赛。
硬要说的话,对知识扩展,脑洞还是有很大帮助的。我每场比赛下来都会学到新东西,查漏补缺。