CTF簡介

CTF的全稱為Capture The Flag,即奪旗賽。CTF競賽活動蓬勃發展，已成為了鍛煉信息安全技術，展現安全能力和水平的絕佳平臺。
CTF號稱計算機界的奧林匹克。

CTF目標：
CTF參賽隊伍的目標為獲取盡可能多的flag。參賽隊伍需要通過解決信息安全的技術問題來獲取flag。
flag可能來自于一臺遠端的服務器，一個復雜的軟件，也可能隱藏在一段通過密碼算法或者協議加密的數據，或一個網絡流量及音頻視頻文件里。選手需要結合利用自己掌握的安全技術，并輔以快速掌握新知識，通過獲取服務器權限，分析并破解軟件或設計解密算法等不限定途徑來獲取flag。

CTF的比賽形式
1.解題模式：通常為在線比賽，目前大多數CTF比賽的主流形式，選手自由組隊參賽（在線比賽人數一般不做限制）。題目通常在比賽過程里陸續放出。接觸一道題目后，提交題目對應的flag即可得分，比賽結束后分高者勝。
2.攻防模式：通常為現場比賽，多數CTF決賽的比賽形式，選手自由組隊參賽，但通常隊伍人數會受到限制（3～8不等）。相比于解題模式，時間更短，比賽里更關注臨場反應和解題速度，需要能夠快速攻擊目標主機并獲取主機的權限，考察團隊多方面的整合安全能力。

CTF解題模式的題目類型：
1.web安全：
通過瀏覽器訪問題目服務器上的網站，尋找網站漏洞(sql注入,xss,文件上傳,包含漏洞,xxe,ssrf,命令執行,代碼審計等)，利用網站漏洞獲得服務器的部分或全部權限，拿到flag，通常包含分值最大的web滲透題；

2.逆向工程(Reverse):
題目就是一個軟件，但通常沒有軟件的源代碼；需要利用工具對軟件進行反編譯甚至反匯編，從而理解軟件內部邏輯和原理，找出與flag計算相關的算法并破解這個算法，獲取flag；

3.漏洞挖掘與漏洞利用(PWN,EXPLOIT)(最難):
訪問一個本地或遠程的二進制服務程序，通過逆向工程找出程序里存在的漏洞，并利用程序里的漏洞獲取遠程服務器的部分或者全部權限，拿到flag；

4.密碼學(Crypto):
分析題目里的密碼算法與協議，利用算法或者協議的弱點來計算密鑰或對密文進行解密，從而獲取flag。

5.調查取證(Misc)(題目簡單):
利用隱寫術等保護技術將信息隱藏在圖像,音頻,視頻,壓縮包里，或者信息就在一段內存鏡像或者網絡流量里，嘗試將隱藏的信息回復出來即可獲得flag。

6.移動安全(Mobile)(題目少):
對安卓和IOS幾個系統的理解，逆向工程等知識。

各題型排序(從簡到難):
1.Misc->雜項
2.Crypto->密碼學
3.Web->Web安全
4.Reverse->逆向工程
5.PWN->二進制

CTF 方向都玩一遍，選1個你最喜歡的、編程基礎非常重要，選1個你最喜歡的。

應屆生招聘需求：
安全服務工程師，安全工程師，滲透測試工程師

安全崗位核心技能需求：
熟悉Web滲透測試方法和攻防技術，包括SQL注入，XSS跨站，CSRF偽造請求，命令執行等OWSP TOP10安全漏洞與防御，有一些程度上的漏洞分析和挖掘能力；
熟悉Linux，Windows不同平臺的滲透測試，了解常用Web框架，數據庫，之間件和操作系統的弱點以及相關攻防技術；
熟悉主流安全工具，包括Kali linux,Metasploit,Nessus,Nmap,AWVS,Burp,Appscan等；
熟悉一門編程語言：如C/Python/PHP/Java等，有一些程度上的代碼編寫能力

總結

以上是生活随笔為你收集整理的CTF基本赛制与题型的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。