昨天刚和我的伙伴萌一起学习,寒假找个教室很难,找个有空着电源的教室更难,找个能够电源线长度的就更加难找了,佩服那些小哥哥姐姐们,放寒假还在留宿学习。
学校的1X还是很快的,够我开直播最高画质,虽然他萌在我的直播一直口嗨。
1. CTF简介
CTF(全称:是 Capture The Flag)中文一般译作夺旗赛,指网络安全技术人员之间进行技术竞技的一种比赛形式。
CTF 起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式 .
1.主要分为三个主要模式:awd攻防模式,解题模式,混合模式,
国内一般是先进行线上解题模式,来决定攻防模式人选,然后进入线下攻防模式。
2.每个模式包括的绝大部分方向如下:
混合模式和解题模式几乎全部涉及
攻防模式多web和pwn
2. 方向介绍:
1. web方向,主要就是有关对网站进行测试,常见的漏洞:
1. CSRF(全称:Cross-Site Request Forgery )
CSRF是利用了系统对页面浏览器的信任,进行逻辑绕过,比如变量覆盖,强弱比较,cookie,等令牌
2.Sql Injiect(sql注入)前些年的漏洞之王:
根据数据库的各种sql语句 + 开发人员不进行输入过滤造成,(脱库)信息泄露,信息遗失,信息篡改,甚至直接被删掉数据库,来获取利益。
3.XSS(Cross-site Script) :
也是由于开发人员没有进行过滤操作,再加上管理网站的人员几乎没有安全意识,而攻击者往Web页面里插入恶意html标签或者javascript代码,可以实现钓鱼,泄露cookie等等重要信息。
分为反射型XSS、持久型XSS和DOM XSS
4.文件包含漏洞:
通过各种协议的作用,进行合理的信任绕过,恶意的任意文件读取,等等
5.文件上传:
通过绕过文件类型检验,文件内容检验,而被注入大型,小型木马,被getshell,可以对服务器进行任何'合理'权限操作
6.DDos攻击 分布式拒绝服务(Distributed Denial of service Attack):
这个攻击现在仍然难以解决,伤害非常高,通过协议的漏洞,造成服务器响应服务被长时间占用,当攻击规模庞大时造成服务器的瘫痪,不能进行正常功能。
现在做这个防御比较好的应该是阿里,曾经防过一次超大规模的DDOs攻击。
2.Pwn方向:
这个涉及溢出,包括C(C++)语言编程,计算机组成原理、操作系统、计算机网络、数据结构编译原理等
主要包括:栈溢出,堆溢出,ROP,格式化字符串漏洞以及其他漏洞
好了今天先叙述到这……明天继续
