您现在的位置:首页 > 公开课
CTF信息安全竞赛实战演练



CTF竞赛模式有哪些?


参赛队伍在单位时间内以解题数量多少来衡量成绩,题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等内容。


参赛队伍在单位时间内以解题数量多少来衡量成绩,题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等内容。


参赛队伍通过挖掘网络服务漏洞并攻击对手获得分数,同时通过修复自身服务漏洞,限制对手得分。

参赛队伍通过挖掘网络服务漏洞并攻击对手获得分数,同时通过修复自身服务漏洞,限制对手得分。


参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。


参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。




参加CTF竞赛应该具备哪些技能?



CTF以团队为竞赛单位,要求队员间技术互补,且至少精通一种竞赛题型



WEB渗透测试

CRYPTO密码学进制漏洞利用

REVERSE逆向工程

MISC杂项流量分析



CTF竞赛题型有哪些?



基础知识


竞赛基础知识,以综合解决方案的形式来体现知识内容,涉及数据库基础,网络安全基础、操作系统基础等。



MISC


安全杂项,题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。




PPC


源代码,题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等。




CRYPTO


密码学,题目考察各种加解密技术,包括古典加密技术、现代加解密技术甚至出题者自创加密技术。





WEB


WEB是CTF夺旗竞赛中主要题型,涉及到常见的Web漏洞,诸如注入、XSS、文件包含、代码执行、上传等漏洞。





STEGA

隐写术,题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。




CTF竞赛想拿高分 该如何备战?


提升短板 磨炼杀招


提升短板 磨炼杀招


CTF竞赛题型分成5个模块,要求队员至少精通一类模块技术。队伍不能有明显技术短板,根据以往经验坐拥PWN大神,对战得分普遍较高。

中培提示培训课程实战模块完整覆盖,讲师乃PWN大神一枚。



以赛代练 快速学习


以赛代练 快速学习


CTF竞赛以实战为导向,需要在日常实战训练中,不断总结和积累,不论是对技术,还是临场应变能力都有极大帮助,特别是对快速学习能力提升效果最为显著。

中培提示无论模拟资源还是对战训练,资源多的不要不要的!



吸取经验 学习思路


吸取经验 学习思路


CTF竞赛经过多年的沉淀,有一些解题思路和攻防赛的对抗技巧是可以借鉴的。不仅能极大提升解题赛效率,同时在对战阶段培养学员发散性的解题思路。

中培提示讲师经验丰富,我们看重First Blood。



多做多练 举一反三


刷过几套题之后,你会发现有些知识点的题目,都有着一些共性。对知识点能扩展的方向做到了然于胸。

中培提示不仅有题库,数量还很多,题型很靠谱。




你的CTF团队是否存在这些问题?




团队技术落后

队员对于目前主流攻防技术整体不掌握,或在部分技术中处于弱势。



队伍技术能力中庸

队员技术基础不错,没有明显短板,但缺乏摧城拔寨的手段。



临场应变能力差

缺乏对新知识快速学习能力,理论付诸实践转化能力差。




解题思路闭塞

遇到复杂题目或生题时,解题思路呆板,缺乏发散理性的推导能力。




解题赛成绩

知识广度不足,题型变化了解不够,不掌握答题技巧






攻防赛成绩差

攻击缺乏有效的渗透手段,防御没有针对性。






参与CTF竞赛能解决企业哪些根本的问题?



  • 01. 产品研发迭代缺乏新技术支撑

    利用实战、比赛中经验,研究数据分析,设计AI算法,以及网络安全防御产品。


  • 02. 安全团队技术能力不成熟

    任何企业都存在未被掌控的安全风险点,只有通过实战不断提升团队技术能力,才能提高漏洞发现门槛。


  • 03. 网络安全风险意识薄弱

    没有意识到一些行为操作,将给企业带来网络安全风险。只有更多的接触网络攻击手段,才能提高防范意识,不留可乘之机,更有效的保护自己。


  • 04. 资金压力大没钱做推广

    团队刚成立,论技术有,谈理想也有。踌躇满志做产品,唯独囊中羞涩,没钱推广企业经营步履维艰。


  • 05. 洽谈业务时没有过硬技术背书

    在国内,安全类技能认证普遍存在“一英里宽一英尺深”情况下,过硬的CTF成绩绝对是优质背书。 


  • 06. 没有渠道接触优秀安全技术人才

    企业通过以往渠道获得优秀安全技术人才,无异于撞大运。并没有稳定可靠的途径。


  • 07. 对招聘安全技术人员工作能力不了解

    简历呈现完美,面试对答如流,实际工作能力堪忧。



CTF竞赛对个人提升有多大?



提升快速学习能力


CTF竞赛试题范围广且灵活多变,需要学员在比赛过程中去学习和实践。对于知识理解速度和理解能力有着极高挑战。


提升技术认知水平


CTF竞赛试题难度大复杂程度高,需要从原理上去理解。这对于个人安全技术能力体系的丰富完善有着极大的帮助。



提升逻辑思考能力



CTF竞赛不仅节奏快,而且比赛内容复杂程度高。对于知识技术运用极其综合。要求选手时刻保持清晰的判断和高效的分析能力。


提升实战解决能力



CTF竞赛其本质是通过一系列技术手段应用,和实际工作中对于网络安全技术发展的思路完全吻合,而技术强度和难度更胜一筹。



提供进阶TOP级企业敲门砖


CTF竞赛是国内顶尖互联网企业,吸纳优质网络安全人才的重要手段。


提供企业级项目经验技术积累




CTF竞赛内容源于实战但高于工作日程接触,对于重大项目中的网络安全技术实施, 有着极高的借鉴价值。





关于CTF竞赛授课内容CTF入门



  • CTF入门


    1.CTF概念和入门
    2.国内外安全攻防比赛现状
    3.攻防比赛方式和题型介绍
    4.安全培训基础环境介绍和配置搭建
    5.实训期间所需工具包和资料分发
    6.操作系统命令和数据库基础
    7.PHP和python程序入门
    8.数据库基础入门和SQL语言简述
    9.网络安全攻防渗透基础知识(搜集、定点、攻击等)
    10.Linux安全基础(基本命令、系统管理、反弹shell等)
    11.Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等)





  • 数据隐写


    1.数据隐写基础和工具分发
    2.隐写比赛模式和题型分析
    3.隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等

    MISC杂项

    1.常见MISC杂项题目分析
    2.网络流量协议分析基础
    3.Wireshark工具实操
    4.系统日志分析思路
    5.社会工程学概念
    6.其他技术点探讨




  • 密码编码


    1.常见比赛密码学题型分析
    2.密码编码工具介绍和分发
    3.密码学理论基础(凯撒、栅栏、莫斯等)
    4.古典密码学题型分析
    5.编码解码基础入门
    6.常见编码解码题型分析

    密码学进阶


    1.现代密码学入门
    2.算法加解密原理
    3.题型分析和关键代码学习
    4.其他算法介绍

    综合训练

    1.隐写技术复习
    2.密码学复习
    3.题目答疑解惑
    4.杂项题目实操




  • WEB基础


    1.Web漏洞基础和工具介绍
    2.WEB爆破和burp实操
    3.任意文件下载和信息泄露
    4.文件上传和文件解析漏洞分析
    5.XSS跨站攻击(反射、存储、DOM)靶场实操
    6.命令执行原理和OS命令强化
    7.代码执行和PHP代码强化
    8.XXE原理分析和赛题解析

    SQLI提高

    SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入)

    WEB强化


    1.PHP反序列化题型分析
    2.SSRF原理和题型分析
    3.弱类型技术原理
    4.变量覆盖和条件竞争
    5.文件包含强化(伪协议、结合上传、结合XSS等)
    6.SSTI模板注入分析(flask等框架介绍)

    代码审计

    1.python安全编程与代码审计
    2.PHP安全编程与代码审计
    3.Java、JSP安全编程与代码审计
    4.代码审计工具和真题分析

    实操练习


    典型题目实操练习和指导



  • 逆向工程


    1.逆向工程入门
    2.汇编语言基础和关键语句详解
    3.PE格式介绍和X86/X64平台原理
    4.静态分析和动态调试工具介绍
    5.代码和数据结构分析
    6.逆向题目技术点分析和题型介绍
    7.Android基础和逆向题型
    8.逆向题目实操和技能强化
    9.【PWN入门和题型概述】(酌情)


  • CTF模拟训练


    个人夺旗战和AWD攻防混战(0.5天)

    CTF解题赛


    (提供赛题和比赛平台,1.5天)




点击下方二维码咨询!





[1]

 
咨询电话:18701378400
微信公众号:zpedu_nichuang
问题邮箱:nichuang@zpedu.com
公司地址:北京市丰台区育芳园东里三号楼二三四层
 
大数据开发和Java 哪一个比...
CISSP和CISP都有什么区别你...
2021年北京、上海、成都、...
CTF大赛现在为什么这么火?...
TOGAF学习经验:如何学习企...
上海CISP培训、北京CISP培...
喜讯!中培教育成为DAMA数...
助理数据治理师(CDGA认证...
考取CISP需要知道哪些?
有关数据治理你了解多少?...
EBDP认证的介绍
CTF竞赛介绍
CISSP认证介绍
CISP认证培训课程笔记---C...
CISP认证考试难不难?如何...
为什么要学TOGAF? TOGAF认...

首页 | 公司介绍 | 在线报名 | 联系方式
 北京中培伟业管理咨询有限公司  版权所有:中培教育
地址:北京市丰台区育芳园东里3号楼B座    邮编:100071