賽事介紹

CTF競賽模式分為以下三類：
一、解題模式（Jeopardy）在解題模式CTF賽制中，參賽隊伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，以解決網(wǎng)絡安全技術挑戰(zhàn)題目的分值和時間來排名，通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
二、攻防模式（Attack-Defense）在攻防模式CTF賽制中，參賽隊伍在網(wǎng)絡空間互相進行攻擊和防守，挖掘網(wǎng)絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況，最終也以得分直接分出勝負，是一種競爭激烈，具有很強觀賞性和高度透明性的網(wǎng)絡安全賽制。在這種賽制中，不僅僅是比參賽隊員的智力和技術，也比體力（因為比賽一般都會持續(xù)48小時及以上），同時也比團隊之間的分工配合與合作。
三、混合模式（Mix）結合了解題模式與攻防模式的CTF賽制，比如參賽隊伍通過解題可以獲取一些初始分數(shù)，然后通過攻防對抗進行得分增減的零和游戲，最終以得分高低分出勝負。采用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

國際知名CTF賽事

根據(jù)CTFTIME提供的國際CTF賽事列表，包括已完成的賽事和即將開賽的賽事。此外也根據(jù)社區(qū)反饋為每個國際CTF賽事評定了權重級別，權重級別大于或等于50的重要國際CTF賽事包括：
· DEFCON CTF：CTF賽事中的“世界杯”
· UCSB iCTF：來自UCSB的面向世界高校的CTF
· Plaid CTF：包攬多項賽事冠軍的CMU的PPP團隊舉辦的在線解題賽
· Boston Key Party：近年來崛起的在線解題賽
· Codegate CTF：韓國首爾“大獎賽”，冠軍獎金3000萬韓元
· Secuinside CTF：韓國首爾“大獎賽”，冠軍獎金3000萬韓元
· XXC3 CTF：歐洲歷史最悠久CCC黑客大會舉辦的CTF
· SIGINT CTF：德國CCCAC協(xié)會另一場解題模式競賽
· Hack.lu CTF：盧森堡黑客會議同期舉辦的CTF
· EBCTF：荷蘭老牌強隊Eindbazen組織的在線解題賽
· Ghost in the Shellcode：由Marauders和Men in Black Hats共同組織的在線解題賽
· RwthCTF：由德國0ldEur0pe組織的在線攻防賽
· RuCTF：由俄羅斯Hackerdom組織，解題模式資格賽面向全球參賽，解題攻防混合模式的決賽面向俄羅斯隊伍的國家級競賽
· RuCTFe：由俄羅斯Hackerdom組織面向全球參賽隊伍的在線攻防賽
· PHD CTF：俄羅斯Positive Hacking Day會議同期舉辦的CTF
國際重要CTF賽事分布圖
紅色為解題模式選拔賽+攻防模式現(xiàn)場決賽，黑色為混合模式在線賽，紫色為解題模式CTF賽，橘色為在攻防模式在線賽

國內知名CTF賽事

XCTF全國聯(lián)賽中國網(wǎng)絡空間安全協(xié)會競評演練工作組主辦、南京賽寧承辦、KEEN TEAM協(xié)辦的全國性網(wǎng)絡安全賽事平臺，2014-2015賽季五站選拔賽分別由清華、上交、浙大、杭電和成信技術團隊組織（包括杭電HCTF、成信SCTF、清華BCTF、上交0CTF和浙大ACTF），XCTF聯(lián)賽總決賽由藍蓮花戰(zhàn)隊組織。XCTF聯(lián)賽提供100萬元獎勵池，是國內最權威、最高技術水平與最大影響力的網(wǎng)絡安全CTF賽事平臺。
AliCTF由阿里巴巴公司組織，面向在校學生的CTF競賽，冠軍獎金10萬元加BlackHat全程費用。
XDCTF由西安電子科技大學信息安全協(xié)會組織的CTF競賽，其特點是偏向于滲透實戰(zhàn)經(jīng)驗。
HCTF由杭州電子科技大學信息安全協(xié)會承辦組織的CTF杭州電子科技大學信息安全協(xié)會由杭州電子科技大學通信工程學院組織建立，協(xié)會已有七年歷史，曾經(jīng)出征DEFCON,BCTF等大型比賽并取得優(yōu)異成績，同時協(xié)會還有大量有影響力的軟件作品。協(xié)會內部成員由熱愛黑客技術和計算機技術的一些在校大學生組成，有多個研究方向，主要有滲透，逆向，內核，web等多個研究方向。至今已經(jīng)成功舉辦6次CTF比賽。
ISCC由北理工組織的傳統(tǒng)網(wǎng)絡安全競賽，最近兩年逐漸轉向CTF賽制。

國內外知名CTF戰(zhàn)隊

PPP –近幾年崛起的超神明星戰(zhàn)隊，來自美國CMU，隊內有Geohot神奇小子和Ricky兩位國際最高水平黑客作為雙子領軍，2014年PPP包攬了GitS和CodeGate冠軍，CTFTIME全球排名僅次于Dragon Sector排名第二，Geohot神奇小子的單人隊tomcr00se（沒錯，他就自稱網(wǎng)絡空間的湯姆克魯斯）在大滿貫賽Boston Key Party和大獎賽Secuinside，擊敗其他多人戰(zhàn)隊拔得頭籌。由Geohot神奇小子加盟2013年DEFCON CTF總決賽冠軍陣容，PPP戰(zhàn)隊再度衛(wèi)冕2014年總決賽冠軍。

Blue-Lotus –來自中國大陸的安全寶·藍蓮花戰(zhàn)隊。2013年歷史性地作為華人世界首次入圍DEFCON CTF總決賽的隊伍，并在決賽獲得第11名，八支首次入圍決賽戰(zhàn)隊中名次僅次于澳大利亞9447的較好成績。2014年 在成功舉辦首屆BCTF全國網(wǎng)絡安全技術對抗賽后，連續(xù)第二次闖入DEFCON總決賽，并獲得第五名的優(yōu)秀成績。2014年國際CTF戰(zhàn)績包括ASIS CTF資格賽第3名、PlaidCTF/CodeGate八強，在CTFTIME全球排名第16位，亞洲戰(zhàn)隊第2（僅次于韓國penthackon）。
Men in the Blackhats – 來自美國傳統(tǒng)強隊Hates Irony分拆的戰(zhàn)隊，Hates Irony戰(zhàn)隊先前在2011年和2012年資格賽中都位居第一，并在2011年總決賽中獲得季軍，2013年DEFCON總決賽亞軍隊伍，2014年DEFCON總決賽第六名，實力和經(jīng)驗都不容小覷的一支戰(zhàn)隊。

More Smoked Leet Chicken – 簡稱MSLC，俄羅斯的傳統(tǒng)強隊，由兩支隊伍Leet More和Smoked Chicken合并而成。2014年DEFCON以RuCTFe大滿貫賽冠軍入圍總決賽，在已獲得入圍資格時也參加了資格賽，獲得第7名。MSLC戰(zhàn)隊在2012年曾狂攬七項CTF賽冠軍，但近兩年被美國PPP和波蘭Dragon Sector等強隊壓制，少有冠軍戰(zhàn)績，2013年DEFCON總決賽獲得第4名，2014年DEFCON總決賽下滑至第12名。2014年CTFTIME全球排名第3位。

Dragon Sector – 來自波蘭Google Security Team的強隊，今年狂攬六項CTF賽冠軍，CTFTIME全球排名力壓PPP（但是積分和沒有PPP+Tomc00se高），占據(jù)積分榜首位。2014年DEFCON CTF總決賽獲得季軍。

StratumAuhuur – 來自德國的戰(zhàn)隊，由Stratum0和CCCAC聯(lián)盟組成，以大滿貫賽Boston Key Party亞軍（冠軍被神奇小子Geohot單人隊Tomc00rse摘走）獲得總決賽入場券。今年國際CTF賽事多次屈居亞軍，全球CTFTIME排名第4位，首次入圍DEFCON總決賽，并獲得第8名的較好名次

HITCON – 來自中國寶島臺灣的隊伍，主力為臺灣大學學生，在藍蓮花戰(zhàn)隊組織的首屆BCTF全國網(wǎng)絡安全技術對抗賽獲得冠軍，之后在DEFCON CTF資格賽最后時刻逆襲得分，突入DEFCON總決賽，成為臺灣地區(qū)首次入圍決賽的隊伍。2014年獲得ASIS CTF資格賽第一名，并在DEFCON總決賽中以大黑馬姿態(tài)獲得亞軍。

Shellphish– 來自美國UCSB大學的傳統(tǒng)強隊，也是歷史最悠久的全球高校CTF奪旗賽iCTF的組織者，曾于2005年在DEFCON CTF總決賽奪冠，2011年和2012年在CTF總決賽排名都是第9位，2013年第7名。

raon_ASRT – 2013年DEFCON CTF總決賽的季軍隊伍，來自韓國RAON公司安全研究院的團隊，其中兩位核心人員是由韓國Best of Best白帽計劃培養(yǎng)的天才少年。2013年Codegate決賽冠軍隊，Secuinside決賽亞軍，2014年Nuit du Hack CTF季軍。Raon_ASRT也是今年Secuinside大獎賽的組織者。2014年DEFCON CTF總決賽第7名。

9447– DEFCON CTF總決賽唯一一支來自南半球的隊伍，源自澳大利亞UNSW大學，由IT安全講師Fionnbharr Davies以一門課程9447為基礎發(fā)展起來的新銳戰(zhàn)隊，2013年剛一成立便晉級DEFCON總決賽，并在總決賽中獲得第10名的好成績。今年更是以資格賽第3名的好成績入圍總決賽，并獲得第9名。

KAIST GoN – 韓國傳統(tǒng)的CTF強隊，以韓國科學技術院（KAIST）學生為主力，在2013年缺席總決賽之后，2014以資格賽第8名回歸。，DEFCON CTF總決賽獲得第10名。

[SEWorks]penthackon – 以大滿貫賽Olympic CTF亞軍（冠軍是Dragon Sector）身份獲得2014年DEFCON CTF總決賽入場券，獲得。目前CTFTIME全球排名第7位。SEWorks是韓國一家Mobile Security的公司，公司創(chuàng)始人也是五屆入圍DEFCON總決賽WOWHackers戰(zhàn)隊的創(chuàng)始人。Binja – 隊名含義為“二進制忍者”，以日本傳統(tǒng)CTF強隊Sutegoma2為班底，加上katagaitai和EpsilonDelta組建的一支新戰(zhàn)隊，2014年以大獎賽Secuinside第4名成績（前三名分別為TomC00se單人隊、CodeRed和MSLC）抓住了進軍DEFCON總決賽最后的救命稻草，在總決賽排名第13名。Sutegoma2的隊名含義為日本“將棋”中的一種常見手筋“退路舍駒”，成員也以安全公司技術人員為主，2011年DEFCON 19首次打入總決賽，已經(jīng)是連續(xù)第四屆入圍總決賽，2013年總決賽排名第6名。

0ops – 上海交通大學信息網(wǎng)絡安全協(xié)會組織的CTF戰(zhàn)隊，姜開達老師作為領隊。隊長Slipper、副隊長Lovelydream曾是藍蓮花戰(zhàn)隊隊員。2013年9月成立后即積極參與國際知名CTF賽事，曾在Hack.Lu在線奪旗賽中獲得季軍，成功組織過0CTF、ISG等國內知名的CTF賽事

如果你對網(wǎng)絡安全入門感興趣，那么你需要的話可以點擊這里??網(wǎng)絡安全重磅福利：入門&進階全套282G學習資源包免費分享！



CTF 競賽內容

因為 CTF 的考題范圍其實比較寬廣，目前也沒有太明確的規(guī)定界限說會考哪些內容。但是就目前的比賽題型而言的話，主要還是依據(jù)常見的 Web 網(wǎng)絡攻防、RE 逆向工程、Pwn 二進制漏洞利用、Crypto 密碼攻擊、Mobile 移動安全 以及 Misc 安全雜項 來進行分類。

Web - 網(wǎng)絡攻防

主要介紹了 Web 安全中常見的漏洞，如 SQL 注入、XSS、CSRF、文件包含、文件上傳、代碼審計、PHP 弱類型等，Web 安全中常見的題型及解題思路，提供了一些常用的工具。

Reverse Engineering - 逆向工程

主要介紹了逆向工程中的常見題型、工具平臺、解題思路，進階部分介紹了逆向工程中常見的軟件保護、反編譯、反調試、加殼脫殼技術。

Pwn - 二進制漏洞利用

Pwn 題目主要考察二進制漏洞的發(fā)掘和利用，需要對計算機操作系統(tǒng)底層有一定的了解。在 CTF 競賽中，PWN 題目主要出現(xiàn)在 Linux 平臺上。

Crypto - 密碼攻擊

主要包括古典密碼學和現(xiàn)代密碼學兩部分內容，古典密碼學趣味性強，種類繁多，現(xiàn)代密碼學安全性高，對算法理解的要求較高。

Mobile - 移動安全

主要介紹了安卓逆向中的常用工具和主要題型，安卓逆向常常需要一定的安卓開發(fā)知識，iOS 逆向題目在 CTF 競賽中較少出現(xiàn)，因此不作過多介紹。

Misc - 安全雜項

以諸葛建偉翻譯的《線上幽靈：世界頭號黑客米特尼克自傳》和一些典型 MISC 題為切入點，內容主要包括信息搜集、編碼分析、取證分析、隱寫分析等。

全國大學生信息安全競賽 - 競賽內容?

2016 年全國大學生信息安全競賽開始設立創(chuàng)新實踐技能賽，采取的就是傳統(tǒng)的 CTF 賽制。在《2016 年全國大學生信息安全競賽參賽指南》中主辦方給出的競賽內容相對全面，值得參考。

系統(tǒng)安全

涉及操作系統(tǒng)和 Web 系統(tǒng)安全，包括 Web 網(wǎng)站多種語言源代碼審計分析（特別是 PHP）、數(shù)據(jù)庫管理和 SQL 操作、Web 漏洞挖掘和利用（如 SQL 注入和 XSS）、服務器提權、編寫代碼補丁并修復網(wǎng)站漏洞等安全技能。

軟件逆向

涉及 Windows/Linux/Android 平臺的多種編程技術，要求利用常用工具對源代碼及二進制文件進行逆向分析，掌握 Android 移動應用 APK 文件的逆向分析，掌握加解密、內核編程、算法、反調試和代碼混淆技術。

漏洞挖掘和利用

掌握 C/C++/Python/PHP/Java/Ruby/匯編 等語言，挖掘 Windows/Linux（x86/x86＿64 平臺）二進制程序漏洞，掌握緩沖區(qū)溢出和格式化字符串攻擊，編寫并利用 shellcode。

密碼學原理及應用

掌握古典密碼學和現(xiàn)代密碼學，分析密碼算法和協(xié)議，計算密鑰和進行加解密操作。

其他內容

包括信息搜集能力，編程能力、移動安全、云計算安全、可信計算、自主可控、隱寫術和信息隱藏、計算機取證（Forensics）技術和文件恢復技能，計算機網(wǎng)絡基礎以及對網(wǎng)絡流量的分析能力。

網(wǎng)絡安全成長路線圖

這個方向初期比較容易入門一些，掌握一些基本技術，拿起各種現(xiàn)成的工具就可以開黑了。不過，要想從腳本小子變成hei客大神，這個方向越往后，需要學習和掌握的東西就會越來越多，以下是學習網(wǎng)絡安全需要走的方向：

# 網(wǎng)絡安全學習方法

? 上面介紹了技術分類和學習路線，這里來談一下學習方法：

? 無論你是去B站或者是油管上面都有很多網(wǎng)絡安全的相關視頻可以學習，當然如果你還不知道選擇那套學習，我這里也整理了一套和上述成長路線圖掛鉤的視頻教程，如果你對網(wǎng)絡安全入門感興趣，那么你需要的話可以點擊這里??網(wǎng)絡安全重磅福利：入門&進階全套282G學習資源包免費分享！文章來源地址http://www.zghlxwxcb.cn/news/detail-649763.html

到了這里，關于CTF網(wǎng)絡安全大賽介紹的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！