网络安全相关的方向很多,几乎IT相关的安全内容都可以涵盖在内。笔者本身的知识体系更偏向于编程语言和Web应用,本次参赛可谓极具挑战,但是就是喜欢这种感觉:)
- 赛程安排
9月16日接到通知
9月26日初赛
10月15日决赛
- 初赛
网络安全的重要性不容置疑,借助比赛来增强网络安全方面知识储备和技术能力一举多得。于是收到通知后便在公司内部做了宣讲,最终18名“勇士”报名参赛,开始准备初赛。
初赛主要考核理论知识,包括:
网络安全法律法规、网络安全标准、网络安全管理知识、网络安全技术知识(安全检测、安全运维、应急处理),相关法律法规和标准清单如下(后面数字为页数):
《中华人民共和国密码法中华人民共和国网络安全法》 14
《中华人民共和国数据安全法》 11
《互联网信息服务管理办法》 11
《国家政务信息化项目建设管理办法网络信息内容生态治理规定》 11
《网络安全审查办法》(2020 年 6 月 1 日起实施)3
《GB/T25058—2019 网络安全等级保护实施指南》 ?45
《GB/T37973—2019 大数据安全管理指南》 21
《GB/T37931—2019Web 应用安全检测系统安全技术要求和测试评价方法》44
《GB/T37988—2019 信息安全技术数据安全能力成熟度模型》61
《GB/T37972—2019 云计算服务运行监管框架》22
《GB/T37964 —2019 个人信息去标识化指南》35
《GM/T0054—2018 信息系统密码应用基本要求》 27
《计算机信息系统安全保护等级划分准则》(GB17859—1999)9
《信息安全技术信息安全风险评估规范》(GB/T20984—2007)32
《信息安全技术信息安全应急响应计划规范》(GB/T24363 —2009)32
《公共安全业务连续性管理体系要求》(GB/T30146—2013)26
《信息安全技术信息安全风险管理指南》(GB/Z24364— 2009)44
《信息安全技术移动终端安全保护技术要求》(GB/T35278 —2017)30
《信息安全技术电子政务移动办公系统安全技术规范》 (GB/T35282—2017) 13
《信息安全技术安全漏洞分类》(GB/T33561—2017 2020 )22
?相关技术如下:
Windows 操作系统主机安全防护。
Linux/Unix 操作系统主机安全防护
安全设备与工具
主机恶意代码防护
网络层攻击的安全防护
网络单元信息的收集
扫描与探测
Web 入侵安全防护
溢出攻击安全防护 提权攻击的安全防护
其他:加解密、Web攻击、漏洞、物联网安全、数据恢复、恶意代码识别等
初赛主要考核“记忆力”,相关知识要有所涉猎,最终4人进入决赛。
- 决赛
能够进入决赛是很开心的,但这种开心很快被巨大的压力取代,因为初步了解了夺旗赛(CTF)到底比什么。
夺旗赛是一种信息安全竞赛形式,分为解题模式和攻防模式:
- 解题模式
参赛队伍可以通过互联网或者现场网络参与,以解决网络安全技术挑战题目的分值和时间来排名。
- 攻防模式
参赛队伍在网络空间互 相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。
夺旗赛通常包含6大方面:
- Reverse
题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译功底
所需知识:汇编语言、加密与解密、常见反编译工具。- PWN
Pwn 在黑客俚语中代表着攻破,获取权限,在 CTF 比赛中它代表着溢出
类的题目,其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。
所需知识:C,OD+IDA,数据结构,操作系统。- Web
Web 是 CTF 的主要题型,题目涉及到许多常见的 Web 漏洞,如 XSS、
文件包含、代码执行、上传漏洞、SQL 注入等。也有一些简单的关于网络
基础知识的考察,如返回包、TCP/IP、数据包内容和构造。可以说题目环
境比较接近真实环境。
所需知识:PHP、Python、TCP/IP、SQL。- Crypto
题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见编码解码,主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
所需知识:矩阵、数论、密码学。- Misc
即安全杂项,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。
所需知识:常见隐写术工具、Wireshark 等流量审查工具、编码知识。- Mobile
主要分为 Android 和 iOS 两个平台,以 Android 逆向为主,破解 APK 并
提交正确答案。
所需知识:Java,Android 开发,常见工具。
看完上面介绍,尤其是涵盖的知识内容,相信大家能体会到笔者的压力。
本次比赛的决赛采用的是解题模式,包含5个方向(仁慈的主办方去掉了Mobile),12道题,分值为200或300。比赛在一个大房间内进行,自带电脑,接入现场网络,访问答题系统,无互联网,手机上交,设置个人一、二、三等奖,团体组织奖。
从得到决赛入围通知到最终现场参赛只有16天时间,要做的主要事情:
- 由于无互联网环境,各种在线神器都无法使用,因此要做各种准备工作:安装工具、下载资料等;
- 5个方向相关知识学习;
- 大量刷题,熟悉工具的使用,归纳解题思路;
于是,整个国庆假期都在准备,最后参赛前几天每晚都要到12点,有一天到了凌晨1点,知识点越看越多,几乎刷的每一道题都是新题。幸好有团队作伴,几个人向着一个明确的目标,极具挑战,但是过程十分迷人,现在回望,充满收获。
10月15日在紧张地备战中到来了,决赛持续4个小时,到场时大家还能尽量放松,互相打气,比赛过程中全场死一般寂静,能够感受到几十个大脑的飞速运转,彼此较劲。每当有人解出一道题,系统会提示,这由增加了无形的压力。时间到,系统自动终止答题,所有人都默默的坐着,就像行驶在快车道上的汽车,到达目的地要经过一个长时间的减速。走出比赛场地,到了外面,呼吸到清凉的空气,大家才恢复到“正常”模式,团队里的4人彼此交流起来:你解出几题?那道Web是怎么解的?...
由于要对初赛和决赛成绩进行加权,来计算最终成绩,现场没有公布结果,大家惴惴不安的离开,期待着自己的努力能有回报。
答题界面:
煎熬了3天,最终结果:参赛的4人,3人获得三等奖,团队获得组织奖。虽然是最低奖项,对于我们来说也是一种比较满意的结果,更别提过程中的丰硕收获:对网络安全整体认知的提升,对各项技术能力的提升,对自身学习能力的提升,对团队凝聚力的提升...
如果再有这样的机会,还会一如既往的参加。
对网络安全、夺旗赛(CTF)感兴趣的,我总结了相关资料、工具及解题思路,都是难得的初学者资料,欢迎品鉴交流。
