MISC(安全杂项):全称Miscellaneous。题目涉及流量剖析、电子取证、人肉搜索、数据剖析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你剖析的题目;取证剖析题目,都属于这类题目。紧张稽核参赛选手的各种根本综合知识,稽核范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC比较ACM来说,还是较为随意马虎的。至于编程措辞嘛,推举利用Python来考试测验。这部分紧张稽核选手的快速编程能力。CRYPTO(密码学):全称Cryptography。题目稽核各种加解密技能,包括古典加密技能、当代加密技能乃至出题者自创加密技能。实验吧“角斗场”中,这样的题目搜集的最多。这部分紧张稽核参赛选手密码学干系知识点。REVERSE(逆向):全称reverse。题目涉及到软件逆向、破解技能等,哀求有较强的反汇编、反编译踏实功底。须要节制汇编,堆栈、寄存器方面的知识。有好的逻辑思维能力。紧张稽核参赛选手的逆向剖析能力。此类题目也是线下比赛的稽核重点。STEGA(隐写):全称Steganography。隐写术是我开始打仗CTF以为比较神奇的一类,知道这个东西的时候觉得好神奇啊,黑客们真是聪明。题目的Flag会隐蔽到图片、音频、视频等各种数据载体中供参赛选手获取。载体便是图片、音频、视频等,可能是修正了这些载体来隐蔽flag,也可能将flag隐蔽在这些载体的二进制空缺位置。有时候须要你侦查精神足够的强,才能创造。此类题目紧张稽核参赛选手的对各种隐写工具、隐写算法的熟习程度。实验吧“角斗场”的隐写题目在我看来是比较全的,以上说到的都有涵盖。新手盆友们可以去理解下。PWN(溢出):PWN在黑客鄙谚中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,个中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中,线上比赛会有,但是比例不会太重,进入线下比赛,逆向和溢出则是战队实力的关键。紧张稽核参数选手漏洞挖掘和利用能力。WEB(web类):WEB运用在本日越来越广泛,也是CTF夺旗竞赛中的紧张题型,题目涉及到常见的Web漏洞,诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是大略的注入、上传题目,至少会有一层的安全过滤,须要选手想办法绕过。且Web题目是海内比较多也是大家比较喜好的题目。由于大多数人开始安全都是从web日站开始的。四、CTF学习路线4.1、初期
刚刚走进大学,入了web安全的坑,面对诸多漏洞一定是迷茫的,这时的紧张任务便是打好网站开拓的根本,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,理解基本网站架构、根本网站开拓事理,根本的前后端知识,能够让你之后的漏洞学习畅通无阻。
1、html+css+js(2-3天)前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的根本。也是前端漏洞如xss、csrf的根本。
☆重点理解html和js
推举学习资料:
https://www.runoob.com/https://www.w3school.com.cn/能力哀求:
能够写出大略表单,能够通过js获取DOM元素,掌握DOM树即可。2、apache+php (4-5天)推举利用phpstudy来进行傻瓜式安装,可以少走很多弯路。通过apache+php体会一下网站后真个事情,客户端浏览器通过要求apache做事器上的php脚本,php实行后天生的html页面返回给浏览器进行解析。
☆重点理解php
推举学习资料:
https://www.runoob.com/https://www.w3school.com.cn/能力哀求:理解基本网站事理,理解php基本语法,开拓大略动态页面
3、mysql (2-3天)之前已经安装的phpstudy可以轻易的安装mysql。mysql是一款范例的关系型数据库,一样平常来说,大部分网站都会带有数据库进行数据存储。
☆重点理解sql语句
推举学习资料:
https://www.runoob.com/https://www.w3school.com.cn/能力哀求:
能够用sql语句实现增编削查,并且能用php+mysql开拓一个增编削查的管理系统(如学生管理系统)4、python (2-3天)虽然 “php是最好的措辞”,但它紧张还是运用在做事端做网站开拓,我们搞安全常常须要写一些脚本或工具来进行诸如密码爆破、目录扫描、攻击自动化等操作,须要一个方便且趁手的编程措辞,这里我推举python
重点学习requests、BeautifulSoup、re这三个库
推举学习资料
https://www.runoob.com/https://www.w3school.com.cn/能力哀求:
理解python根本语法,能够用python爬取网站上的信息(requests+BeautifulSoup+re)5、burpsuite (1-2天)web安全的工具很多,但我以为必备的渗透工具还得是它
重点学习Proxy、Repeater、Intruder三个模块,分别用于抓包放包、重放包、爆破
初步利用即可,在中期的漏洞学习中去逐渐闇练它
推举学习资料
DVWA之暴力破解能力哀求:
能够用burpsuite抓包改包、爆破用户名密码4.2、中期此时我们对网站已经不再陌生,能够自己动手完成一个大略站点。但我们写出来的代码真的安全吗?进入中期,我们便要开始着眼经典漏洞的学习。
一个漏洞的学习,要搞明白三点(每学完一个漏洞就问自己这三个问题):
如何利用这个漏洞?为什么会产生这个漏洞?如何修复这个漏洞?1、SQL注入(7-8天)我们web狗学习的第一个漏洞一样平常都是SQL注入,它是web安全经典中的经典,也是在这里被贯注灌注 “永久不信赖用户的输入” 的口号,纵然是现在sql注入也依旧存在,并且它还在不断衍生出如nosql注入、ORM注入等,可谓防不胜防。
推举学习资料:
sqli-labs:如何利用它网上有很多传授教化,wp也有很多大佬写了 这里贴一个https://blog.csdn.net/wang_624/article/details/101913584sqlmap:sql注着迷器,有余力可以去看看它的源码,学习一下大佬进行sql注入并把它自动化的思路buuctf:找干系的真题进行练习 wp百度一搜就有[极客大寻衅 2019]EasySQL[极客大寻衅 2019]LoveSQL[SUCTF 2019]EasySQL能力哀求:
能够手工注入出任意表的数据,熟习三种盲注的手腕,能够通过sql注入实现任意文件读取和任意文件写入,能够自己编写一个不含sql注入的查询功能2、文件上传(7-8天)webshell是可以进行代码实行的木马
而文件上传实在便是想办法把webshell上传到目标的做事器上去并成功解析,达到掌握目标做事器的目的,这也是web安全的一个重点内容
推举学习资料
upload-labs:险些涵盖所有上传漏洞类型buuctf:找干系的真题进行练习([ACTF2020 新生赛]Upload)趁手的webshell管理工具: 蚁剑能力哀求:
会写php的webshell,明白webshell的事理,熟习常见的文件上传绕过方法(如过后缀检测、过文件头检测、过MIME类型检测),能够自己编写一个不含漏洞的上传功能3、其他漏洞(14-15天)以上两个漏洞是我认为一个初学者最该当节制也是最范例的漏洞,涵盖了代码实行、文件操作、数据库操作等web运用的主体内容。然而web安全的天下还有很多的漏洞须要你去探索,不过学会了这两种漏洞的你去学其他漏洞定然是游刃有余,不会像刚开始那么困惑了。
以下四个为中期要节制的漏洞
命令实行(RCE):php常见的代码实行(eval)、命令实行(system)函数文件包含:file协议、php伪协议的利用XSS:通过XSS获取用户cookieCSRF:通过csrf让用户点击恶意链接就触发敏感操作4.3、后期此时的你熟习了web安全几个核心的漏洞,并且有了一些ctf题目的练习履历,已经是一个合格的ctfer了。恭喜你。成功入门web安全。后续的学习方法或许该由你自己决定,我在此只给一些建议。
多多参与CTF赛事
参与当下举行的ctf赛事是最好的学习方法之一,纵然是初学者也能够找到一些适宜自己能力的赛事,比如极客大寻衅、UNCTF、各个大学的新生赛等等都是不错的选择,在比赛中去创造自己知识的不敷,然后去针对的补充这部分知识,是很好的学习循环,无需迷茫的去到处获取知识,而是在须要时去学习。
Tips: 或许有人以为直接刷题是一样的,但完备不是,当下比赛中的题每每更加前沿和盛行,你可以找到当下的ctf题目趋势,紧跟技能热点,而且可以多多融入ctf竞技的氛围中,发展的更快。
ctfhub:可以很方便的查看最近举行的ctf赛事多多看其他师傅的博客
打完ctf比赛的你肯定是想看writeup(答案)的,一样平常来说赛后过几天就会有很多师傅发出他的writeup,从比赛群、百度等路子都可以找到。多多看看其他师傅的解题思路,关注几个大牛,看看他们发的技能文章,都是很好的学习方法。
五、CTF学习资源5.1、CTF赛题复现平台BUUCTF拥有大量比赛的复现环境海内较早利用动态靶机的CTF复现平台·定期举办各种公开赛供应平台开源环境·较全的比赛WriteupCTFHub各种比赛历年真题较为体系化的技能树较全的CTF工具集较全的赛事日历较全的比赛WriteUpBugKu海内较早的CTF复现平台(在buu和ctfhub还没火的时候bugku很有名)·较为根本的题目较全的WriteUpPwnable适宜Pwn新手入门题目较为友好5.2、赛事与资讯DEF CON CTF国际最顶尖的CTF赛本家儿赛事+外卡赛决赛与DEF CON同期举办CTFTime较全的国际CTF赛事信息·较全的CTF战队信息·较为威信的CTF战队排名。各大赛事WriteUp各大赛事日历BUUCTF前面说过不重复讲了XCTF国际联赛海内较早的CTF联赛海内第一个出海办比赛的CTF赛事·在国际上具有一定有名度部分学校可以加分乃至保研各种赛事太多了,这里没法——罗列,大家前期可以刷一些校赛和小比赛,进阶刷i春秋、XCTF,后期直接刷CTFTime各种国际赛
5.3、博客与论坛先知社区:https://xz.aliyun.com。看雪论坛:http://bbs.pediy.com/。安全客:http://anquanke.com/.FreeBuf http://freebuf.com/。P神博客http://leavesongs.com/。代码审计http://t.zsxq.com/UrJiUBY·漏洞百出http://t.zsxq.com/fEmluBe.CTFWP@Nu1 http://Lt.zsxq.com/JluJi235.4、书本推举CTF WiKiCTF竟赛中的进阶知识.CTF竟赛中的优质题目·较全的学习路径完备开源,可以离线化支配从0到1: CTFer发展之路Nu1L占战队编著覆盖了CTF各方向学习路径。团队协作与管理履历分享CTF特训营FlappyPig编著常见CTF题型解题方法·各种竞赛模式技巧白帽子讲Web安全Web入门经典书本适宜Web方向在学习CTF之前看加密与解密(第4版)逆向入门必看书本·源自实战、辅导实战.买就完了六、末了学之前的思考:剖析赛题情形
PWN、Reserve侧重对汇编、逆向的理解Crypto侧重对数学、算法的深入学习Web编程对技巧沉淀、快速搜索能力的寻衅Misc则更为繁芜,所有与打算机安全寻衅有关的都算在个中常规做法
A方向:PWN+Reserver+Crypto随机搭配B方向:Web+Misc组合实在Misc所有人都可以做
恶补根本知识&信息安全专业知识
推举图书:
A方向:
RE for Beginners(逆向工程入门)IDA Pro威信指南揭秘家庭路由器0day漏洞挖掘技能自己动手写操作系统黑客攻防宝典:系统实战篇B方向:
Web运用安全威信指南Web前端黑客技能揭秘黑客秘籍——渗透测试利用指南黑客攻防宝典WEB实战篇代码审计:企业级Web代码安全架构
