ctf大赛的问题蓝队云还是很有发言权的,毕竟连续参加了云南省4届网络安全攻防大赛,也有出题经验。
回答这个问题之前,我们首先需要知道CTF是什么?
CTF,英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。
CTF的主办和参赛
通俗易懂的讲,CTF也叫作网络安全攻防大赛。这类大赛一般都是由政府安全部门、从事信息安全的企业、高校等等单位主办的。目的也很简单,一般都是为了加强国家网络信息安全建设,挖掘网络信息安全人才。电视剧中的CTF大赛至少在我看来是经过影视化加工的,明显将比赛电竞化了。
CTF参赛者一般会是政府安全部门的人才、从事信息安全的企业、高校学生、安全大牛,还有一些网络安全的爱好者,比赛一般是以团队报名,3-5人一组。
CTF比赛模式
比赛一般是由两种形式,一种是攻防大战,一种是解题模式。
攻防战模式——此类CTF中,参赛者分成两队,每队都分配有一个计算环境——可能仅仅是一台服务器。两队任务相同:攻击对方系统,并防御己方系统。每方系统中都含有一些信息性旗标供攻击者找出并夺取。这就是“夺旗赛”这一名称的由来。
攻防模式下,防御者需尽其所能地保护自身服务器:修复所有软件漏洞,甚至模糊不明的那些;防火墙只允许必要的服务出入;确保所有口令都是强口令,账户只具备必要的最小权限……
至于攻击者,需运用渗透技术获取防守方服务器的访问权。诚然,如果攻击者能拿到root权限,竞赛便会很快结束,但根据所涉及的应用和服务,更有限的攻击便已足够。
解题模式——解题锦标赛模式中,多支队伍竞相解决题板上不同分值的难题。解出题目找到旗标的队伍便可将之提交到计分系统,获得相应分数,并继续迎战下一个难题。计时结束之时,得分最高的团队胜出。因为便于组织和管理,解题模式CTF远比攻防模式更为盛行。
当然,很多比赛都会两种比赛模式同时进行,云南省2019年国家网络安全宣传周·网络安全服务技能比武兼用了这2种模式。蓝队云作为出题方,参照国际级别CTF赛事保证每场比赛4-20的原创题目,为这场比武设计了10余个原创题目。
关于CTF比赛是不是真的有很多人在现场观看这个问题?
假的!
亲自感受过省级CTF比赛现场,跟电视剧天差地别。现场真的没有观众,一般除了参赛者之外,只会有赛场相关人员在场,少数行业爱好者会来观看。口说无凭,上张图片吧。
- 海报