安全團隊的 CTF 得分能代表哪方面的實力水平?

本題來自知乎圓桌 ? 白帽黑客與安全,歡迎關注討論。


謝邀,第一次被邀請,想想都很激動啊!!!好好答一答

0.ctf的類型還是挺多的 ,大概可以分為三類 :腦洞類,學術類,實戰類。不同風格隊伍會適應不同類型的題目 ,然後比賽中題目類型的佔比也會影響到最後的成績排名,所以體現的實力水平也是不一樣的。還有隊友分布要均衡,對於不同方向的題目都能有人做有人出力,不然就會出現一堆web汪盯著pwn漏洞利用和re逆向之類的二進位題目乾瞪眼的情況~ ╮( ̄▽ ̄")╭ 隊伍的合作也要愉快,能互相鼓勵一起前進,心態也要好一些

1.第一類的話,是腦洞類的題目,腦洞要大,要能聯想,看到一個細節不要放過都要好好利用起來,這種的ctf比賽的代表貌似就是以360的比賽比較出名(俗稱360腦洞大賽=.=),附帶上幾篇writeup吧,可以參考參考。

360hackgame writeup
第三屆-360信息安全大賽 WriteUP
AppLeU0"s Blog
有一些是比較莫名奇妙的聯繫,有的會很牽強,所以感覺做起來不是很爽。甚至最後看到writeup都會出現(╯"-")╯(┻━┻還能這樣子做題的感慨。
至於做好這類題目代表了什麼實力水平?可能就是要見多識廣,聯想能力好,能頭腦風暴,腦洞夠大吧~>▽<

2.第二類的話,是比較常規的題目,其實有挺多的比賽都是這樣子的,有點點偏學術。它會抽象出一個一個知識點,然後分別考察,一道題一道題來,這樣子解題之類的。考察的方面可能都會比較全面,web滲透、pwn漏洞利用、re逆向工程、code編程、misc雜項。可能都會被涵蓋到的。
比如之前剛剛舉行的強網杯的比賽,附兩個writeup。

AppLeU0"s Blog
「強網杯」網路安全挑戰賽writeup
這種類型的比賽,一個人要搞定是幾乎不可能的,必須要找到合適的隊友,合理分配戰力。隊友也要給力,對於這些考察的知識自己平時也有研究與積累。還有就是和時間的戰鬥吧,很多時候比賽都是24小時48小時連續的,一般都是留在實驗室通宵熬夜的做題,所以腎要好(嚴肅臉),要能熬夜。
這種比賽,其實還是考驗一個隊伍的知識全面與否,最弱的方向不能太弱,比較平均,各方面都能出的上力,可能是獲得這種比賽好成績的一個條件吧。

3.第三類的話,可能都是一些偏實戰的題目的,這種類型的題目一般比較少見,因為環境搭建、許可權控制什麼的,還有一些時候會涉及到一些選手之間的對抗,所以一般是在ctf的決賽中比較多吧。因為選手少,好控制,網路環境也好配置。

這種偏實戰的很多都是從真正的實戰環境來的,很多是去模擬一個實戰的環境,所以需要有豐富的滲透經驗啊,平時多搞搞站,多實戰,才能提高這方面的能力吧。還有一些是選手互相進攻的,佔領彼此的伺服器,可能就是要看經驗了吧,很多時候一個猥瑣的直到比賽結束都沒法被發現的後門就是致勝的關鍵。
也發幾個這種類型的writeup吧,這種比賽還是挺好的,做出來題目就種滲透成功了的感覺,還提高了姿勢,特別nice~ o((&>ω&< ))o

AppLeU0"s Blog
ALICTF Quals 2015 [Pentest]
AppLeU0"s Blog
AppLeU0"s Blog
比賽有我們三葉草小組出題的校賽,可能因為搞滲透的比較多,所以出的題也是很多從實戰中提取出來的想法,做起來也是比較爽吧。
alictf也是說以實戰為特色的,也有很多從實際業務中出的題目。
另外兩個就是一些比賽的決賽的,決賽也是面基其他大黑闊的好機會,有時候都會找這種比賽三五基友一起聚一聚。
偏實戰的比賽能體現的實力水平,可能就是實際滲透的能力吧,實戰能力,搞站的水平這些吧,經驗要豐富一些。

嘿嘿,最後來都來了,官人點個讚唄~mua~


安全團隊的CTF得分能很好地代表這個團隊人員的基礎素質水平和團隊協作能力。
CTF比賽中的題目往往是五花八門各式各類都可能出現的,並沒有一個明確規定的知識點範圍,所以更看重人的臨場的快速學習和理解能力以及把理論付諸實踐的能力,而非大量的知識儲備。一定的知識量儲備肯定是必要的,但是並不能期望靠知識儲備來獲得勝利。

另外想補充一點的是CTF比賽絕不是靠腦洞和猜,有些題目可能會需要一些在合理範圍內的聯想和猜測,這雖然算不上太好但還是可以接受的;而對於那些腦洞和猜測比例佔得很大的題目,委婉點說是出得不太好的題目,不客氣地說的話這些題目其實就是垃圾題,一般沒什麼做的價值,即使做出來了也很少能從中學到什麼有用的知識。如果一個CTF比賽中充斥著這類題目的話,毫不客氣地說這種比賽就是毫無價值的垃圾比賽,參加這種比賽只是在浪費自己的時間、精力和感情罷了。
正是因為國內的比賽充斥著太多這類題目,導致給了一些選手「CTF就是腦洞比賽」的錯誤印象。造成這種現象的很大一部分原因是因為出題者自身水平低下,無法設計出難度合理有挑戰性(既不是簡單到無趣約等於送分,又不是故意刁難選手結果最後無人解出),思路新穎有創新性和趣味性(CTF題目的基本原則是不與舊題重複,而好的CTF題目首先必須得好玩),解法合理而有學術和應用價值(選手通過做出題目能夠學到有價值的思想和知識),內涵豐富且有思想深度(出題者要通過題目把自己的思想和觀點傳達給那些解出題目的選手,這個聽起來可能有點玄學,但作為出色的題目這一點必不可少,請相信我選手是一定能感受到的),健壯性好(無非預期漏洞,無編程BUG,正確答案唯一無多解)的高質量優秀的題目,最後只得隨便弄一個純靠腦洞和猜的題目草草敷衍了事。
舉個例子,一道高質量高水平的Web題,就算是給了全部的源碼,一樣是可以非常具有挑戰性和趣味性的。而放眼國外的高質量CTF比賽,這類出色的題目是屢見不鮮的。

一句話總結,在CTF比賽中,選手的智力和執行力起主導作用,知識儲備起輔助作用。


如果經常參加ctf的隊伍,對出題者的出題思路就會比較有感覺,每年的ctf,總會有一部分題的思路會和往年重合的,所以如果你做題做多了,遇到思路差不多的題,應該會比較省時間,有的隊伍其實實力很強的,但是沒有參加過ctf,不了解出題人的思路,在找解題思路上耽誤了時間,導致最後分數不理想。所以通過得分,可以看出,安全團隊一個是經常關注ctf,一個是自身的基礎知識也比較紮實,現在的ctf題,往往都和當年的安全技術趨勢比較接近,前幾名的隊伍,也能夠看出平時是在不斷學習的,經常關注安全趨勢的。


最根本的是:根據需求快速學習知識來解決問題的能力。


只熟悉Jeopardy style CTF。 一般都有有固定的幾類,比如CTF入門How to Get Started in CTF 這兒提到的
1) Reverse Engineering:勇敢的少年啊快去學習彙編/c, ida pro熟手可以拿好多分。。
2) Cryptography:密碼學知識, 從古典密碼學到現代的都有
3) ACM style programming:類似acm編程題
4) Web vulnerabilities:web安全,SQLi XSS and etc
5) Binary exercises:緩衝區溢出之類的軟體安全知識
6) Forensics/networking:犯罪取證,網路。 【學了n個學期的forensics然而並沒有什麼用,因為老美forensics公司只招美國人,淚目】


謝邀。大家都講的比較全了。我也不想再贅述了。想知道的,想懂的看一下前面幾個大長文基本就懂了。
總得來說,對於一個隊伍,CTF主要看這個團隊的綜合能力。就像高考一樣,是看綜合成績的,往往各個科目都比較好的人才能獲得比較高的成績。如果隊伍中都是只會WEB方向的,其他的什麼都不會的話。就算你們研究WEB研究的再透徹也是拿不了多高的分數的。
對於個人來說,CTF能一定程度上體現其安全方面的能力。無論是WEB、逆向、加解密、雜項等等,如果你都能做出幾道題目,說明你的安全素質是值得肯定的。但是,這裡由於CTF是一個類似於划了重點的考試一樣,它雖然能體現一個人安全能力的概況,但不能完全展現每個人其真正的能力。通俗的講,你或許自身對某方面研究的比較好,但是你不習慣CTF的考察方式和腦洞角度的話,你並不一定就能取得很高的分數。
所以,可以這樣說CTF得分能力強,說明其有一定的安全和開腦洞水平。但是,CTF得分能力差也不能完全說明一個人的安全水平非常差。畢竟CTF考察的知識點並不代表所有的安全知識點,而且有些題目和實際工程問題區別還是很大的。結合大家最熟悉的考試來說,對於學生,你會發現每年考試成績最高的那個人並不一定是對那門課學的最好學的最透徹的人。但,對於老師來說,你期末考試考的比較高,就說明那個學生至少對於這門課的知識點有一定的掌握程度。


謝邀。 然而我是個CTF渣渣→_→ 看看大神們怎麼說。。


CTF得分高,必然基礎知識紮實,腦洞大 || 猥瑣,知識面廣。
智商 情商 知識面 缺一不可


CTF還是能鍛煉選手的水平,但和實際情況往往會差那麼些許。


謝邀。這是個分段函數。

聊聊自己和隊友們。 同准大二生,兩個隊友全為信安專業。分好方向,我逆向,一位滲透,一位coding。同刷了幾個CTF,了解點科普常識和代碼語法,基本上可以斬掉幾個水題了。

一位教我"做人"的師兄,准大四,滲透提權無壓力,能逆向能寫碼,恩,不是一般的那個"能"[原諒一個高山仰止的腦殘粉根本找不到言語形容吧阿門]

還有幾位讀研的師兄.....全國CTF十名以內。給我講題的時候覺得啊好厲害,他們能做到什麼地步……就不知道了。

以上是玩CTF的學院派。

幾個網友,水平包括但不低於,五分鐘從我父親的網站提到root。恩,只是個例子,中小規模的站,指哪打哪。他們的CTF分數,在我們和准大四師兄之間。

函數如下:

0分段。

CTF用來入門最好,所括略雜,有水題又有趣味,可實驗且可科普。分數代表興趣和熱情,恭喜~

低分段。

不同於ICPC,CTF不適合用來做導向性的學習指南。積累腦洞,轉用模板什麼的,見多識廣也可以提高分數,那就很無聊了。好好磕書擼站比什麼都重要。CTF的分數?親,什麼都不代表。

中高分段。

代表什麼能力……你見過冰山么?

分段函數基本上是指數的樣子。


本渣謝邀。
樓上有人說國內ctf偏學術化,然而我認為並沒有粘多少「學術化」的邊,像某ctf聯賽學生出的題無非是把最近玩過的題目/在漏洞平台看見的洞換個圖片/代碼掛上去了,思路並沒有什麼創新。公司出的題目風格迥異,更偏向實戰。
與其說ctf是競賽不如說是game,經驗的積累佔一大部分比重,如果積累不足理解應用能力就顯得很重要了,想要學術的話不如去看看某省的網路安全對抗賽,寫幾篇論文交上去那才叫有意思。然而一篇好的論文也至少一個月才能寫完,對抗賽時間那麼短交上去的東西也並沒有太多價值。
然而並不知道還可以說什麼。


我覺得就是快速學習能力加上計算機基礎知識。
最近特別有體會。

2015 CSAW逆向第一題,給了個NES文件,逆向紅白機程序,瞬間掃了掃6502彙編,看了下硬體結構,得到了遊戲手柄按鍵對應的內存位置。一步一步跟蹤、逆向得到演算法,最後解出flag。
還有日本的MMA CTF 2015的數字電路題,用的是icarus模擬,給了個vvp文件。但是vvp中間文件的資料太少,只能下載了icarus的源碼開始分析,觀察vvp解釋器如何工作(用yacc lex實現的,分析起來相對輕鬆)分析出vvp文件內的演算法,為了方便觀察波形,可以在vvp內插入Verilog宏來dump出所有變數,再依靠gtkwave顯示波形。
除了有一點Verilog配合icarus模擬的經驗,其餘乾的事情都是看到題目就要開始立刻學習的,幾小時內就必須搞定,不然……比賽就結束啦。


為什麼邀我 我是渣渣
前面大神寫的很全面了,我就說一點我的感受吧
第一個是知識的廣度
第二個是隊友互補,以及分工配合的默契
第三個是快速學習(其實這個最重要)

以上三點都是相輔相成的,拿到一個未知的題目時有隊友知道是哪個領域的東西,然後快速檢索資料並coding拿到flag,這是需要大量的積澱的。

補充:
另外有些ctf已經做成有獎競猜了,這類考察的就是腦洞的大小了


瀉藥!CTF比賽是我入門網路安全行業(好吧,這句話請忽略,一直在入門徘徊。。)的重要里程碑。第一次打的時候,只能靠猜(雖然現在也是靠猜T_T),後來隨著參加越來越多的比賽,方方面面都學到了不少,我算是做開發的,比賽中好多猥瑣技巧的防禦策略對我啟發蠻大的,咳咳咳。。。貌似跑題了,下面回歸正題。
--------------------------------------------淫蕩的分割線-----------------------------------------------------

國內偏解題,國外重對抗(貌似還是跑題了,逃:)


個人意見認為是攻防。以下有百科的介紹

CTF競賽模式分為以下三類:
一、解題模式(Jeopardy)
在解題模式CTF賽制中,參賽隊伍可以通過互聯網或者現場網路參與,這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似,以解決網路安全技術挑戰題目的分值和時間來排名,通常用於在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
二、攻防模式(Attack-Defense)
在攻防模式CTF賽制中,參賽隊伍在網路空間互相進行攻擊和防守,挖掘網路服務漏洞並攻擊對手服務來得分,修補自身服務漏洞進行防禦來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況,最終也以得分直接分出勝負,是一種競爭激烈,具有很強觀賞性和高度透明性的網路安全賽制。在這種賽制中,不僅僅是比參賽隊員的智力和技術,也比體力(因為比賽一般都會持續48小時及以上),同時也比團隊之間的分工配合與合作。[1]
三、混合模式(Mix)
結合了解題模式與攻防模式的CTF賽制,比如參賽隊伍通過解題可以獲取一些初始分數,然後通過攻防對抗進行得分增減的零和遊戲,最終以得分高低分出勝負。採用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。


謝邀,前面大家都說得比較全面了~就我個人而言CTF如果是拋開專業的安全團隊,擴大到普通的安全愛好者來說其實是很贊的一款「燒腦遊戲」,我用了「遊戲」這個詞,因為現在好多CTF比賽(非專業性比賽)都已經成為一種解謎的遊戲,可以極大的增強普通愛好者的興趣,而類似簡單的web滲透、傳統加密模式的破解等項目,也是讓普通的安全愛好者可以勝任的「遊戲」,對於普及安全意識提高安全技能還是很有幫助的。
順帶一提CTF和ACM有著共同之處就是記得常做筆記,具體原因你懂的~


暑假有空填坑 小夥伴約我


為什麼邀請我!從來沒有正經打過ctf!ctf厲害的都是些有智商有情商的人。


首先謝謝邀請
過去的2,3年非常關注各類CTF比賽,也組織了隊伍嘗試參加了一下,由於水平有限,當然結果是一無所獲。後期也學習一些大神們的writeup,覺得國內的CTF最大的特點就是學術化
能在CTF中獲得高分的團隊,都是在安全技術上無可爭議的高手(我相信前幾名的團隊一定沒有交換答案),這裡的安全技術就像lion saber提到的:逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等等。
不過題主問的是實力水平,我只能說是這是中國人最引以自豪的考試的實力水平


推薦閱讀:

某國公安偵查到該國IM上一則關於搶劫的聊天信息,現實技術上是如何實現的?
如何看待17歲黑客涉案近15億元:感謝在18歲前抓到我?

TAG:網路安全 | CTFCaptureTheFlag |