李睿-CTF赛之攻防对抗的艺术 v0.2演讲稿1.pptx

CTF赛之攻防对抗的艺术目录结束语CTF赛制介绍进攻的手段防御的艺术3124个人简介一个口活还行的信息安全爱好者热衷多种安全技术杂七杂八都会一点CTF赛制介绍什么是CTF竞赛CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式 。CTF赛制介绍国际著名CTF赛事DEFCON CTFFacebook Hacker CupPlaidCTF国内著名CTF赛事XCTF0CTFBCTFCFFISGCTF赛制介绍目录结束语CTF赛制介绍进攻的手段防御的艺术3124竞赛环境风险重灾区Web类题目PWN类题目网络安全Web类题目安全风险突破题目直接提取flaginclude()require()include_once()require_once()?php include($_GET[test]);?Web类题目安全风险题目验证不严导致getshell考察注入时选手通过into outfile写入一句话木马http://localhost/log.php?id=1′ union select 0x2a2f3c3f70687020406576616c28245f504f53545b27636d64275d293b3f3e2f2a,0x2a2f into outfile ‘c:/wamp/www/shell.php’#Web类题目安全风险Webshell越权删除flag文件PWN类题目安全风险发送拒绝服务exploitPWN类题目安全风险底层漏洞导致提权网络安全高并发大流量恶意代码Payload与shellcode信道冲突广播风暴绕过访问控制目录结束语CTF赛制介绍进攻的手段防御的艺术3124主办方如何避免沦陷环境隔离代码逻辑服务权限文件权限请求跳转主办方如何避免沦陷竞赛环境隔离主办方如何避免沦陷强制跳转非赛题文件php请求主办方如何避免沦陷文件权限限制主办方如何避免沦陷赛题网站管理员降权目录结束语CTF赛制介绍进攻的手段防御的艺术3124Thanks高效运维社区开放运维联盟荣誉出品GOPS2016 全球运维大会更多精彩