CTF類型有哪些
小編給大家分享一下CTF類型有哪些���,相信大部分人都還不怎么了解�,因此分享這篇文章給大家參考一下��,希望大家閱讀完這篇文章后大有收獲����,下面讓我們一起去了解一下吧����!
CTF分類
CTF分兩派:攻防戰模式和解題模式�。
此類CTF中����,參賽者分成兩隊��,每隊都分配有一個計算環境——可能僅僅是一臺服務器�����。兩隊任務相同:攻擊對方系統�,并防御己方系統�。每方系統中都含有一些信息性旗標供攻擊者找出并奪取����。這就是“奪旗賽”這一名稱的由來��。
攻防模式下�����,防御者需盡其所能地保護自身服務器:修復所有軟件漏洞��,甚至模糊不明的那些�����;防火墻只允許必要的服務出入�����;確保所有口令都是強口令�����,賬戶只具備必要的最小權限……
至于攻擊者�,需運用滲透技術獲取防守方服務器的訪問權���。誠然�����,如果攻擊者能拿到root權限����,競賽便會很快結束�,但根據所涉及的應用和服務�����,更有限的攻擊便已足夠���。
解題錦標賽模式中�����,多支隊伍競相解決題板上不同分值的難題�。解出題目找到旗標的隊伍便可將之提交到計分系統��,獲得相應分數�,并繼續迎戰下一個難題��。計時結束之時���,得分最高的團隊勝出�����。
因為便于組織和管理�����,解題模式CTF遠比攻防模式更為盛行�����。
山王模式中��,每支隊伍努力奪下并守住服務器控制權��。計時結束之時掌控服務器最久的團隊獲勝�。這種模式是攻防CTF的一個變種��。
幾種模式各有千秋�����。解題模式有利于構筑問題解決技術集��,山王模式CTF是很好的事件響應���、規劃和協作的訓練場��?�?傊?��,只要能讓安全人員走出舒適區��,無論哪種類型的訓練都能有所收益�����。
CTF競賽哪里尋��?
開放競賽全球各地一直都有���。此類活動的一個主要舉辦地是在CTFtime網站��。大部分的活動都是解題模式���,比如說�,2018年的152項活動中���,只有16項是攻防模式�,占絕大多數的135項都是解題模式�。
若說CTFtime是CTF界的ESPN��,那么CTF界的超級碗當屬DefCon——拉斯維加斯舉辦的年度黑客盛會���。2018年第26屆DefCon的CTF勝出者是DEFKOR00T團隊�����。DefCon CTF 的所有過往記錄和完整資料都保存在他們的服務器上�����。另一項著名CTF隨年度NorthSec安全大會而生�����,在蒙特利爾舉辦�����。
DefCon這種大會總有個舉辦地���,但大多數CTF是線上賽�。國家網絡聯盟(NCL)組織面向高中生和大學生的解題模式CTF��,有明確的賽季和賽程����。
CTFTime上的大多數比賽都是小型安全愛好者團體組織的�,但也有例外����。2018年末就見證了趨勢科技的 CTF 2018����,決賽在東京舉辦���,其中囊括了山王模式競賽���。另一方面�����,2019年4月20�,托馬斯·杰斐遜科技高中的計算機安全俱樂部將在弗吉尼亞州費爾法克斯舉行為期6天的比賽����。沒錯����,這確實是個高中舉辦的CTF�����。美國空軍為初高中學生舉行網絡愛國者(CyberPatriot)競賽���。
DefCon這種主流安全大會上的CTF確實引人注目���,因此很多企業也開展了自己的CTF項目��。這種活動是很好的學習途徑���,還能讓安全人員從瑣碎的企業日常安全工作中切換出來�����,換換腦子�,充盈下身心����。
打造自己的CTF
如何組織自己的CTF�����?作為企業����,慣于改進和支持專業產品的你可能會對自己的發現倍感失望��。并沒有太多現成的CTF供你選擇����,但你可以收集無數細節���,將它們組織成自身獨特和頗具挑戰性的競賽���。
與CTF靶場最為接近的東西可能是 OWASP Juice Shop (開放網頁應用安全計劃果汁商店項目)�。OWASP是設計工具和指南以幫助開發者及其他IT人員打造安全應用的安全專家組織��。
Juice Shop 是虛構的網店�����,售賣果汁��、T恤等東西�����,不用在意細節���,你只需要知道該網站滿載各種已知漏洞就行了����。該網站是可定制的�����,你可以根據自己的意愿更換品牌標志�����,或將產品更改為自己希望的樣子����。OWASP的 Juice Shop 有多種形式����,包括一個Docker鏡像��,且運行在單一服務器實例上��。
Juice Shop 還含有舉辦比賽所需的記分牌和賬戶管理功能��。
CTF框架
有些CTF框架相當流行�����,有些則略默默無聞��。CTFd是被安全供應商�����、大型和黑客組織廣泛使用的CTF平臺�����,包含比賽所需的記分牌和其他基礎設施���,只需添加實際的題目和相應的得分供用戶賺取即可����。
其他主流框架還有:
Facebook CTF 框架
加州大學圣巴巴拉分校計算機安全實驗室iCTF
HackTheArch
Mellivora
NightShade
LibreCTF
picoCTF
CTF工具
谷歌舉辦一些重大CTF���,雖然沒有釋出其整個框架���,但記分牌代碼和大部分競賽題是已經發布了的����。
有用工具的列表很長�,此處僅舉幾例拋磚引玉:
1. 安全場景生成器(SecGen):生成半隨機的帶漏洞虛擬機����。
2. mkctf:以預定義格式創建可輸入到框架中的挑戰題目��。
3. DVWA:用于展示已知及未知漏洞的開源PHP/MySQL網頁應用�。用戶可選擇漏洞(如SQL注入)���,并用UI激活之���。DVWA沒有 Juice Shop 那種有意思的前端�����,但有時候簡單才是最好的��。
以上是“CTF類型有哪些”這篇文章的所有內容�,感謝各位的閱讀�!相信大家都有了一定的了解��,希望分享的內容對大家有所幫助��,如果還想學習更多知識��,歡迎關注億速云行業資訊頻道��!
