CTF信息安全竞赛培训方案
浏览:28次 作者:小编培训简介
CTF(Capture The Flag,夺旗赛)——这场网络安全领域的巅峰对决,早已成为信息安全技术人才的竞技殿堂。其源头可追溯至传统黑客间的网络技艺较量,旨在以技巧取代直接攻击,营造一种更为文明的竞技环境。CTF的诞生,源于1996年第四届DEFCON,如今已在全球网络安全界蔚然成风,成为一种广受欢迎的竞赛形式。
CTF竞赛通常分为三种经典赛制:解题赛(Jeopardy)、攻防赛(Attack-Defence)与混合赛。竞赛模式以解题模式、攻防模式为核心,涵盖了web安全、密码学、逆向工程、二进制安全编程等多种技术领域,吸引了国内外众多技术高手的参与。
解题赛,作为线上赛事的常见形式,题目种类繁多,包括Web、Forensic(取证)、Crypto(密码学)、Binary(二进制)等。选手或团队通过破解难题,获取特定格式的字符串,即flag。提交flag至竞赛平台即可获得积分,难度越高,积分越高。比赛结束时,积分最高的选手或团队脱颖而出,荣膺冠军。
攻防赛,则是一种充满挑战的线下决赛形式。每个队伍分配一台主机或虚拟机,名为gamebox,通过网络连接至gamebox。所有队伍的gamebox通过内网互联互通,运行着多个相同服务。选手们需挖掘服务漏洞,攻击其他队伍的gamebox以获取flag,同时提交至计分服务器换取积分。此外,选手还需修复自身服务的漏洞,以防失分。攻防赛不仅考验技术实力,更是一场对体力的严峻挑战。
混合赛则将解题赛与攻防赛巧妙融合,或是采用其他创新模式,为参赛者提供了更为丰富多样的竞技舞台。
日程安排
序号 | 项目 | 授课内容 |
1 | CTF入门 | CTF概念和入门 国内外安全攻防比赛现状 攻防比赛方式和题型介绍 安全培训基础环境介绍和配置搭建 实训期间所需工具包和资料分发 操作系统命令和数据库基础 PHP和python程序入门 数据库基础入门和SQL语言简述 网络安全攻防渗透基础知识(搜集、定点、攻击等) Linux安全基础(基本命令、系统管理、反弹shell等) Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等) |
2 | 数据隐写 | 数据隐写基础和工具分发 隐写比赛模式和题型分析 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等 |
MISC杂项 | 常见MISC杂项题目分析 网络流量协议分析基础 Wireshark工具实操 系统日志分析思路 社会工程学概念 其他技术点探讨 | |
3 | 密码编码 | 常见比赛密码学题型分析 密码编码工具介绍和分发 密码学理论基础(凯撒、栅栏、莫斯等) 古典密码学题型分析 编码解码基础入门 常见编码解码题型分析 |
密码学进阶 | 现代密码学入门 算法加解密原理 题型分析和关键代码学习 其他算法介绍 | |
综合训练 | 隐写技术复习 密码学复习 题目答疑解惑 杂项题目实操 | |
4 | WEB基础 | Web漏洞基础和工具介绍 WEB爆破和burp实操 任意文件下载和信息泄露 文件上传和文件解析漏洞分析 XSS跨站攻击(反射、存储、DOM)靶场实操 命令执行原理和OS命令强化 代码执行和PHP代码强化 XXE原理分析和赛题解析 |
SQLI提高 | SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入) | |
WEB强化 | PHP反序列化题型分析 SSRF原理和题型分析 弱类型技术原理 变量覆盖和条件竞争 文件包含强化(伪协议、结合上传、结合XSS等) SSTI模板注入分析(flask等框架介绍) | |
代码审计 | python安全编程与代码审计 PHP安全编程与代码审计 Java、JSP安全编程与代码审计 代码审计工具和真题分析 | |
实操练习 | 典型题目实操练习和指导 | |
5 | 逆向工程 | 逆向工程入门 汇编语言基础和关键语句详解 PE格式介绍和X86/X64平台原理 静态分析和动态调试工具介绍 代码和数据结构分析 逆向题目技术点分析和题型介绍 Android基础和逆向题型 逆向题目实操和技能强化 【PWN入门和题型概述】(酌情) |
6 | CTF模拟训练 | 个人夺旗战和AWD攻防混战(0.5天) |
CTF解题赛 | (提供赛题和比赛平台,1.5天) |
企业内训1
- 标签: 信息安全 信息安全工程师 CTF竞赛 CTF报名 CTF 信息安全工程师培训 信息安全工程师课程
-
上篇: CDSP数据安全认证培训方案
下篇: CTF信息安全竞赛培训方案
