CTF大赛相关知识点 .pdfVIP

网络攻防大赛相关知识点

1背景

2021年全国电子设计大赛——信息平安技术专题邀请赛第一次设立“信息

平安动态演练类”题目，依照官方网站的介绍，“信息平安动态演练类题目主若

是信息系统的脆弱性分析，参赛形式是在封锁网络环境（含虚拟机）中的现场竞

赛，参赛内容涉及网络平安，统一命题。”作为信息平安技术竞赛中最高级别的

竞赛，信息平安技术专题邀请赛第一次设立了攻防类的题目，网络攻防实战竞赛

终于丢掉了“禁区”的帽子，取得官方的支持。

在国际下，相关的网络攻防实现竞赛已经举行了很连年，最闻名的确实是

DefCon的CTF大赛，国内在这一方面较为掉队，也是在最近的几年开始重视并

持续追赶，目前国内比较出名的战队有清华大学的蓝莲花战队，台湾的HitCon

战队，和上海交通大学的0ops战队等。

除信息平安技术专题邀请赛，全国各大平安公司及其他高校也举行了类似的

竞赛，今年比较闻名的竞赛有百度的BCTF竞赛，和第二届360杯全国大学生网

络攻防大赛。

2网络攻防大赛的特点

与其他的信息平安技术竞赛相较，网络攻防大赛的最大特点是技术的实战性，

参赛选手会在相对封锁的环境中解决并渗透进入对方的主机系统，同时也要对自

己的主机系统不断地进行平安防护。

就目前的竞赛形式来看，题型设置大体上分为两种。

（1）相同计算环境下的夺旗赛。参赛选手在相同并隔离的计算环境下，分

析目标系统中的各类平安漏洞，利用漏洞或渗透主机等获取主机内隐藏的Flag。

（2）对攻实战。同夺旗赛类似，参赛选手的计算环境相同，可是并非隔离，

其解决目标变成对方选手的系统。因此，除获取对方系统的隐藏Flag之外，还

需要不断给自己的系统打补丁以增强平安防护，避免被对手渗透等。

3网络攻防大赛的考察知识点

就以往的竞赛来看，竞赛题目大致分为以下5类：密码分析类、Web平安类、

二进制程序的逆向破解类、数字取证类、漏洞挖掘及漏洞利用类。

（1）Web平安

Web平安涉及的内容超级丰硕，就典型的Web效劳来讲，其平安问题可能来

自于Web效劳器、数据库效劳器、和Web程序本身等。因此，学习和了解Web

平安的内容也需要循序渐进。

1）第一学习Web效劳器的配置。了解典型的Web效劳器如何构建的，典型

的Web效劳器包括微软的IIS、Apache、Tomcat等。

2）Web程序的开发离不开脚本语言。如何构建一个静态的Web网站？HTML

的开发规那么是什么？如何利用HTML设计简单网页？

在建设完成静态Web网站以后，感爱好的同窗能够重点学习动态Web程序的

开发，典型的开发语言包括ASP、、JSP，PHP等。

3）典型的Web效劳离不开数据库的支持，那么典型的数据库有哪些？如何

应用？Access、MySql、MSSqlServer、Oracle等典型数据库的安装与配置等是

怎么样的？什么是SQL，典型的新闻发布网站是如何设计的？

4）在了解了上述Web知识以后，咱们就能够够进入Web平安的世界，比如，

什么是SQL注入，什么是XSS注入，什么是CSRF，这些解决能够发生的缘故是

什么？如何防范？网络上的那么多Web网站，可否自己独立发觉一个上述漏洞？

（注意，咱们要遵循黑客原那么，以发觉漏洞并增强平安防护为目的，坚决遏制

非法的网络解决。）

5）另外，Web平安还有Web效劳器、数据库效劳器等本身的漏洞，比如，

什么是弱口令，效劳器为了方便治理会常常开启3389端口，那个端口有什么用？

如何能够猜解出治理员的弱口令，同时效劳器又开放了3389端口，会产生什么

用的后果？

6）典型的数据库，如MSSqlServer有哪些常常被利用的漏洞？其默许登岸

账户是什么？MySql的默许开放端口是什么？HTTP协议的默许开放端口是什

么？

（2）扫描器及协议分析

1）怎么样获取效劳器的开放端口？怎么样扫描目标主机中存在的漏洞？

Nmap有哪些功能？如何利用？

2）在协议分析方面，WireShark有什么用？能够用来发起什么解决？举例

而言，常规的Web程序中，用户名和密码等这些灵敏信息一样会通过POST数据

包发送给Web效劳器，在如此的进程中，可否用WireShark进行拦截并窃取灵敏

信息？