那个很燃的偶像剧过去了一年,剧中的“黑客”大赛却更火了
2020-07-13 17:26:08 Author: www.secpulse.com(查看原文) 阅读量:426 收藏

导读:去年7月9日,《亲爱的,热爱的》开播,你的“现男友”李现饰演的男主角韩商言的战队在CTF国际大赛中夺冠,让青春梦想的成为现实的同时,也为国争光。

如今,这部热播剧过去了整整一年,但CTF却热度不减。本文就简单聊聊CTF,并带你走近2017年XCTF的冠军战队——FlappyPig。

微信图片_20200713144609.jpg

01 什么是CTF

CTF全称为“Capture The Flag”,一般翻译为“夺旗赛”,源自西方的一种传统户外游戏:比赛的目的就是夺取位于对方“基地”里的旗帜,然后带着旗子安全返回自己的基地。当然实际规则还要更复杂一些,感兴趣的同学可以自行了解。

后来,“夺旗”的概念被引入信息安全攻防比赛,因为在比赛中,选手需要通过解开题目,或攻破目标夺得“Flag”。 

02 当我们在打CTF的时候,其实是在干什么

最早的CTF赛制,起源于1996年的DEFCON全球黑客大会。经过二十多年的发展,DEFCON已经是公认的全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。相应地,CTF的内涵和外延也更加丰富了。
一般而言,现在CTF的赛制主要包括解题模式、攻防模式和“山大王模式”——“King of The Hill”。
解题模式包含逆向、漏洞(也称攻防)、算法、审计、综合等等,难度不一,分值不一,越难的题目分值越多;攻防模式是队伍之间进行攻防,综合考验攻击能力和防守能力,对技术、战术、策略要求更高;“King of The Hill”模式是大家同时攻击一个服务器,比谁占领服务器的时间长,也被人称作“懒人的 CTF”,因为占领方有很大优势,有时候可以打得比较悠闲。
微信图片_20200713144856.jpg

03 CTF已经成了培养安全人才的重要手段

通过举办CTF来培养网络安全人才,已经发展成为了国际网络安全圈的共识。
打CTF是非常好的安全技术能力训练方式。首先,CTF与计算机科学、信息安全紧密相关,比如逆向分析、漏洞挖掘与利用、Web安全或者密码学等。一般来说,优秀 CTF 选手在从事安全技术工作时也会有很大优势,在处理现实的安全问题时,可以运用到CTF当中的一些知识,而好的CTF赛事,题目质量更高,选手提升也会更快。
另一方面,研究安全技术过程中训练出来的思维能力是很有用处的。比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力等,这些能力的培养,不管是对专业的提升,还是对于职业能力的养成,都帮助非常大,即使以后不做安全,在其他领域也能融会贯通。
比如1996 年成立的黑客技术团体“w00w00”,成员中就出现了非常杰出的人物,包括WhatsApp的联合创始人Jan Koum、Napster(世界最早的音乐共享平台) 的联合创始人Shawn Fanning、Arbor Networks的联合创始人Dug Song等等,这个团体不是特别大,却人才辈出。
最后,不管你是不是安全相关专业,或者只是对安全感兴趣,想未来从事相关的工作,都建议能够参加一些CTF的赛事,并在比赛之余,找机会接触一下安全行业,了解行业里有哪些角色,了解每种角色需要什么技能,了解自己适合哪种岗位。这些积累,都会在将来的某一天,回馈给你意想不到的惊喜。

04 FlappyPig战队

FlappyPig首次出战是在2014年百度与蓝莲花联合举办的BCTF上,并一举闯入了这届CTF的线下赛决赛,当时队名还不叫FlappyPig,他们用了另一个名字——“无名”。
首次比赛还不错的成绩让这群队员们增加了不少信心。为了有一个辨识度超高的队名,他们选择了FlappyPig。这个名字结合了当时很火的游戏FlappyBird以及Pig这一可爱的物种,有“笨猪先飞”的寓意。
2016年,队伍里增加了一名神秘的队员,这名队员的名字和ID在这里不太方便透露。这位神秘人的加入让FlappyPig的二进制实力更上一层楼。
于是2016年也就成为FlappyPig成绩最好的一年。他们在国内最权威的XCTF联赛当中大放异彩,获得多个分站赛的冠亚季军。6月,他们参加了WCTF世界黑客大师挑战赛预选赛并获得了国内唯一的晋级名额。
WCTF是邀请制,除了FlappyPig之外剩下的12支队伍都是被邀请的队伍,他们都是世界排名前15的队伍。FlappyPig能够与国际高水平黑客战队同台竞技并且最终获得了第8名的成绩,着实又是一匹大号的“黑马”了。
2017年9月,FlappyPig成功登上XCTF总决赛冠军宝座。

05 一边比赛,一边写书

最近,FlappyPig撰写的《CTF特训营:技术详解、解题方法与竞赛技巧》出版了,这是国内首本CTF赛事技术解析书籍。据说,FlappyPig从组建开始就在写这本书,历时5年,扎扎实实,精细打磨。
如果你对CTF感兴趣,有一颗战斗的心,把这本书作为参赛指南最合适不过了。

65735   500.jpg

推荐语:国内首本CTF赛事技术解析书籍,老牌CTF战队FlappyPig撰写,从安全技术、解题方法、竞赛技巧3大维度全面展开,Web、Reverse、PWN、Crypto、APK、IoT 6大篇,扎扎实实30章,厚达518页,三度Pwn2Own冠军Flanker、CTF赛事国内推动先驱者诸葛建伟、段海新教授联袂推荐。

参考来源:

1. 腾讯安全联合实验室的知乎回答

https://www.zhihu.com/question/268449200/answer/629662495

2. 红豚工作室:【黑客众神录】“飞猪黑马扫地僧”——FlappyPig

https://www.bilibili.com/video/BV1ei4y1G7BG

本文作者:Satoh_AI

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/135149.html


文章来源: https://www.secpulse.com/archives/135149.html
如有侵权请联系:admin#unsafe.sh