CTF对我们的意义-CTF类型
CTF题目的类型 1.Web 2.Crypto 3.PWN 4.Misc
1.stego
2.forendics
3.等等
复制
5.Reverse PPC(Professionally ProgramCoder)
著名的CTF比赛
-国际比赛:DEFCON资格赛
DEF CON CTF 2015
HITCON CTF
RuCTFE
SECCON CTF
32C3 CTF
Boston Key Party
PlaidCTF
0CTF
DEF CON CTF 2016 Qualifiers
DARPA Cyber Grand Challenge
复制
-国内比赛:XCTF联赛
RCTF福州站
ZCTF郑州站
SSCTF西安站
BCTF北京站
0CTF上海站
SCTF成都站
WHCTF武汉站
AliCTF杭州站
XCTF总决赛
复制
为什么要打CTF
能力提升
**思维能力**
**快速学习能力**
技术能力
复制
发展前景
信息安全稀缺资源
复制
需要哪些基础
1.编程语言基础(c语言、汇编语言、脚本语言) 2.数学基础(算法、密码学) 3.脑洞大开(天马行空的想象、推理解密) 4.体力脑力(各种通宵熬夜不睡觉)
如何入门-如何学?
1.恶补基础知识 2.尝试从脑洞开始(hackgame) 3.从基础题目出发 4.学习信息安全专业知识 5.锻炼体力耐力
如何入门-学之前的思考
我们到底要如何学习呢? 1.分析赛题情况 2.分析自身能力 3.选择更适合的入手
如何入门-学之前的思考:分析赛题情况
PWN、Reverse偏重对汇编、逆向的理解 Crpto偏重数学、算法的深入学习 Web偏重对技巧沉淀、快速搜索能力的挑战 Misc则更为复杂,所有与计算机安全挑战有关的都算在其中
如何入门-学之前的思考:分析自身能力(兴趣)
常规做法: A方向:PWN+Reverse+Crypto随机搭配 B方向:Web+Misc组合 其实这里Misc所有人都能做
如何入门-恶补基础知识&信息安全专业知识
都需要学的内容: Linux基础、计算机组成原理、操作系统原理、网络协议分析
A方向: IDA工具使用(f5组件)、逆向工程、密码学、缓冲区溢出等
如何入门-恶补基础知识&信息安全专业知识
推荐图书:(基础书籍按照自己喜欢的看)
A方向: RE for Beginners(逆向工程入门) IDA Pro权威指南 揭秘家庭路由器0day漏洞挖掘技术 自己动手写操作系统 黑客攻防技术宝典:系统实战篇
B方向: Web应用安全权威指南 Web前端黑客技术揭秘 黑客秘籍-渗透测试实用指南 黑客攻防技术宝典 Web实战篇 代码审计:企业级Web代码安全架构
如何入门-从基础题目出发
从基础题目出发(推荐资源)
非常入门的国外ctf题库,很多国内选手都是从这里刷题成长起来。
比较老牌的Wargame,国内资料也比较多,一些writeup (A方向) overthewire
也是一个比较老的Wargame,国内资料也比较多。(A方向) exploit-exercises
PWN类题目的游乐场(A方向) pwnable
米安的Web漏洞靶场,还挺好玩(B方向) moomsos
如何入门-选择什么工具
CTF比赛一般都是使用网络安全常用工具,比如burp、IDA等,但是会有很多大家不常见的工具。
如何入门-以练促赛、以赛养练
以练促赛: 选择一场已经存在Writeup的比赛
以赛养练: 参加一场最新CTF比赛
如何组建团队-强力成员画像
1.思维跳跃:灵活性、不会钻墙角 2.专注:遇到问题不放弃直到解决 3.耐力:可以一天一夜不睡觉的研究技术 4.团队精神:责任、凝聚、分享
有以上三条为强力成员;有以上四条会成为强力队长!
如何组建团队-组建团队要解决的问题
1.新人招募:如何评判新人潜力 2.队员培养:如何快速培养队伍能力 3.梯队有序:如何建立阶梯层级 4.纪律严格:如何拒绝无团队精神的队员
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等…
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。
当然你也可以看下面这个视频教程仅展示部分截图:
加粗样式
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗!
想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦!
再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦!
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
