这次比赛以CTF(夺旗赛)的方式开展,赛题的技术类型覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等多项网络安全技术。
CTF早已由来已久,虽然它只是网络安全比赛中的一种比赛形式,但现在早已将它当做网络安全大赛的缩写。
CTF来源于大神间的技术切磋
1984年,一个叫 Tom Jennings 的朋克老哥搞出了人类历史上第一个基于互联网的BBS系统,它叫做 Fidonet。
通过 Fidonet,天南海北的怪人终于拥有了直接交流信息的方式,很多计算机发烧友和黑客们纷纷建立 Fidonet 站点,互相联系交流。
1993年,一个名叫“白金网络”(Platinum Net)的 Fidonet 站点某区版主 Jeff Moss邀请全美国各地的黑客们一起面基切磋技艺,他还给聚会取名叫DEF CON。
这次聚会响应的人很多,大家似乎都对这种模式很感兴趣,随后Jeff Moss决定每年都要在拉斯维加斯办一次 DEF CON,这一办就办了将近30年。2019年的第27届 DEF CON,全世界慕名打卡朝圣的黑客总计30000多人。
聚会总要想点有意思的小游戏,于是他们想到了一个美国传统游戏“Capture The Flag”,两个队伍各自拿着一个旗帜,哪个队能把对方的旗抢过来,同时保护好自己的旗子,就算获胜。
换算到虚拟的网络世界里,就是几个队伍通过解题的方式互相进攻,同时保护自己的信息不被偷,每次进攻成功就计分,最终谁分高谁就厉害,这个游戏被他们称为 CTF。
这也是目前CTF网络安全大赛的前身。谁都没有想到,在短短二十多年里,它竟然演化成了一项竞技项目,不仅深刻地改变了黑客的世界,也成为了一个独立而坚硬的文化符号。
保护网络安全,防火墙要建牢
CTF现如今是在网络安全领域中,网络安全技术人员进行技术竞技的一种比赛形式,2013年之前全球就举办了超过五十场国际性CTF赛事。简而言之,参加比赛的选手,不是网瘾少年,而是真正的网络技术能力者,他们比拼的,从来就不是游戏。
CTF可以说是当今时代下,对互联网安全的一次大规模探索,百度安全、腾讯安全、阿里巴巴都举办过类似的赛事。
说起来,当时Fidonet 甚至都跨过了大洋,来到了中国。马化腾可是当时深圳站的站长,后来开发了一款可以即时通讯的小软件,叫 QQ。
这话倒是有些跑远了,总之随着互联网的普及,网络安全问题变得越来越突出,我国还专门设置了网络安全宣传周来对网络安全知识进行宣传。
随着连接数的增加,越来越多的设备接入到网络,以实现远程监控、软件更新、更好的数据分析以及系统自动化,攻击面随之大大增加,保护网络免受攻击也成为企业当务之急。
从技术手段上我们可以利用各种软件和各种安全设备来组建和维护一个安全的网络,防火墙就是其中最重要的设备之一。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统,防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访来保护内部网络。
2019年3月,董某就曾租赁境外网络虚拟主机,远程运行其在网络上下载的捕获网站域名软件和扫描软件,欲利用扫描到的网站漏洞,对网站进行攻击,没想到却被防火墙给拦截了,偷鸡不成蚀把米,最后还因违法被抓。
腾讯云Web应用防火墙
面对让人防不胜防的网络攻击,很多厂家开始涉足WAF市场,腾讯云Web应用防火墙(WAF)是基于AI的一站式Web业务运营风险防护方案。
它可以帮助云内用户和云外用户应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题。
企业组织通过部署腾讯云Web应用防火墙服务,将Web攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯Web业务防护能力,为组织网站及Web业务安全运营保驾护航。
1、业界领先AI+规则双引擎
传统WAF核心引擎多采用正则表达式集合,存在难以避免“漏判”被绕过,及“误判”导致影响业务的问题。腾讯云Web应用防火墙率先应用 AI+ 规则双引擎检测技术,最大限度地提高已知和未知威胁的检测率和捕获率,最大限度减少误报,并且灵活适应不断变化的 Web 应用。
2、独有DNS劫持检测模块
DNS劫持攻击将对用户业务及品牌信誉带来严重损失,借助于腾讯海量终端的检测探测点与云端强大数据分析能力,对客户提交的域名进行全国范围的 DNS 验证,感知及详细地展示受护域名在各个地域的劫持情况,帮助组织规避 DNS 劫持问题所带来的业务风险问题。
3、数据防泄漏
针对数据窃取行为,腾讯云 WAF 提供基于事前,事中,事后的防护策略:
事前:对服务器信息进行隐藏,并识别拦截黑客的扫描行为,提升黑客入侵难度。 事中:对黑客入侵行为进行感知拦截,阻止黑客对数据库的进一步入侵。 事后:提供自定义的信息泄露防护规则,自动启用数据替换策略,将攻击响应传输中的敏感数据进行替换隐藏,防止黑客获取业务数据。
4、一键整合高防能力
针对突发性大量DDoS攻击问题,腾讯云WAF提供一键方便接入腾讯大禹DDoS防护体系,核心地域同步覆盖, 能够无缝和百G大流量高防包整合,将源站隐藏在源站在具备网站安全防护能力的同时,不惧超大流量DDOS攻击。
5、独有基于AI的爬虫Bot行为管理模块
基于AI+规则的Bot程序管理功能,对友好及恶意Bot爬虫进行甄别分类,并允许采取针对性的管理策略,而对恶意数据爬取商品信息流量采取不响应策略,一方面应对恶意Bot爬取带来的资源消耗,信息泄露及业务竞争问题,同时也保障友好爬虫(如搜索引擎,广告程序)的正常运行。
6、漏洞虚拟补丁
依托腾讯顶尖威胁情报能力,腾讯云WAF主动检测并及时发现高危Web漏洞,0day漏洞,并生成针对漏洞的防护规则,受护用户无需任何操作即可获取紧急漏洞,0day漏洞攻击防护能力,帮助受护网站无忧层出不穷的Web漏洞隐患。
7、CC攻击防护
内置久经实践的CC攻击防护算法,通过在四层和七层阻断海量的恶意请求,智能高效的过滤垃圾访问,有效防御CC攻击,保障业务数据免被恶意爬取及保障正常业务访问的稳定性。
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 
当然你也可以看下面这个视频教程仅展示部分截图: 
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 
想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 
再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!