网络安全竞赛参与者必读!主流竞赛形式、常见题型分析…… .pdfVIP

网络安全竞赛参与者必读！主流竞赛形式、常见题型分析……

展开全文

世界技能大赛新增网络安全项目

随着全社会对网络空间安全的重视程度日益增加，高校的网络安

全人才培养和各行业在职安全人员专业能力提升教育日益重要，网络

安全人才供不应求的局面还将长期持续。

各类网络安全竞赛作为培养安全人才，发现安全人才的有效途径，

这几年在国内出现了爆发式增长。比赛提供了一个完美的平台，参与

者能够综合运用各种手段，进行漏洞挖掘和有效利用，开展取证分析

和积极防御，像攻击者一样来思考问题，在攻防相长的过程中完成自

我升华。

比赛选手或主动或被动，补全了计算机和网络安全基础理论知识，

培养了从理论转向实践的动手能力，并且能够在安全领域结合业务活

学活用。同时伴随竞赛也凝聚了一支支蓬勃发展的安全团队，他们有

着共同的理想和奋斗目标，互相鼓舞激励前行。

CaptureTheFlag（简称CTF）直译为夺旗赛，起源于1996年

美国举办的DEFCON全球黑客大会，最早是交流安全技术的重要途径。

随着时间的推移，CTF竞赛逐渐演变成为网络安全竞赛的一种重要形

式，发展成为全球范围网络安全圈的流行比赛，成为了学习锻炼网络

安全技术，展现安全能力和水平的绝佳平台。

参赛队伍需要通过解决网络安全的技术问题来获取尽可能多的

flag。flag可能来自于一台远端的服务器，一个复杂的软件，也可能隐

藏在一段通过密码算法或协议加密的数据，或是一组网络流量及音频

视频文件中。选手需要综合利用自己掌握的安全技术，并辅以快速学

习新知识，通过获取服务器权限，分析并破解软件或是设计解密算法

等不限定途径来获取。

四种主流竞赛形式

目前主流的网络安全竞赛体现为以下几种形式：

1

解题赛（Jeopardy）

这是大多数国内外CTF比赛的主流形式，选手自由组队参赛，题

目通常在比赛过程中陆续放出。解出一道题目后，提交题目对应的

flag即可得分，比赛结束时分高者胜（同分时比较总提交时间）。为

了向现实生活中实际场景靠拢，近年也出现了一种新的RealWorld形

式，题目载体一般是现实中真实出现过的漏洞。

2

攻防赛（AWD）

通常为现场比赛采用，是多数CTF决赛的比赛形式，选手自由组

队参赛，但通常队伍人数会受到限制（3~6人不等），比赛中更为注

重临场反应和解题速度，考察团队多方面的综合安全能力，要求攻防

能力均衡，不能存在短板。

3

破解赛（Pwn）

国内知名的破解赛有GeekPwn（极棒）安全极客大赛，天府杯

国际网络安全大赛等。这类比赛没有明确命题和答案，主要来自参赛

选手提交的0day漏洞。

4

混合赛（Mix）

CTF线下赛可能是解题赛，可能是攻防赛+解题赛，比如XCTF国

际网络攻防联赛总决赛，也有可能是攻防赛+RealWorld，比如第三届

强网杯全国网络安全挑战赛。

常见题目类型

常见的比赛题目类型包含但不限于以下几类：

1

Web安全

通过浏览器访问题目服务器上的网站，寻找网站漏洞，利用网站

漏洞获得服务器的部分或全部权限，拿到flag。具体考察：操作系统

和网站应用服务器安全，网站多种语言源代码审计分析（特别是

php），数据库管理和SQL语句查询，Web漏洞挖掘和利用（SQL注

入和XSS等），各种服务器提权，编写代码补丁并修复网站漏洞。

2

逆向工程

题目就是一个软件，但通常没有软件的源代码。需要利用工具对

软件进行反编译甚至反汇编，从而理解软件内部逻辑和原理，找出与

flag计算相关的算法并破解这个算法，拿到flag。具体考察：

Windows/Linux/Android在x86/x86_64/ARM平台多种编程语言的

熟练掌握，对源代码及二进制文件的分析和理解，对多种反编译乃至

反汇编逆向工具和脱壳调试技巧的熟练掌握，Android移动应用APK

文件的逆向分析，掌握加解密、内核编程、算法、反调试和代码混淆

技术。

3

漏洞挖掘与漏洞利用

访问一个本地或远程的