网易首页 > 新闻中心 > 滚动新闻 > 正文

补天白帽大会:想要赢得CTF比赛 技巧和心态同样重要

2017-03-31 15:04:00 来源: 台海网(厦门)
0
分享到:
T + -

(原标题:补天白帽大会:想要赢得CTF比赛 技巧和心态同样重要)

3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行,长亭科技安全研究人员Phithon发表演讲时表示,“CTF比赛是一个可以快速积累安全知识的方式,当然也可以是一个信息安全从业从入门到放弃的路,要想赢得CTF比赛的胜利,没有银弹、没有捷径,只有多加训练。”

补天白帽大会:想要赢得CTF比赛 技巧和心态同样重要

长亭科技安全研究人员 Phithon发表议题

Phithon介绍到,PHP弱类型这种题目出现在CTF比赛中的概率里非常高。第一个最原始的就是进行strcmp字符串比较,这样的题目在实际中并不多。第二类是字符串比较升级版,这个题目的核心意思是你能不能找到一个字符串两个参数相等,然后他们的原值不相等的变量。第三类是在实战中是经常遇到的,用户传入了他的用户名,WAF在数据库里将用户密码查询出来,然后进行密码比较,如果比较相等,他就登录成功。

第二个题目是藏源码的一百种方式,藏源码是CTF比赛的必备技巧,我们要研究出题人为什么出这些题目,Phithon提到,首先这个题目的考点是代码审计,二是获取源码的过程也是考点之一,这时候出题人往往会把源码给出来。三比较困难的一类,有时候通过黑盒是没法把这个漏洞挖掘出来的,他很可能就会给你源码,比如直接嵌在HTML注释中或者直接给一个文件读取漏洞,这是简单粗暴的源码泄露题目。

Phithon对哪些地方可以藏源码进行了总结,首先是代码包,二是版本控制文件,三是一些开发环境遗留比如Mac文件管理器,四是文件读取漏洞,五是简单逆向,六是数据包分析。

第三个题目有关WAF,这与找源码是一样的问题,我们在实际工作中遇到WAF确实很多,你可以看到WAF里有很多信息,最后发现字符串里面有一个替换空型的WAF,另外一个是字符串替换空型WAF加强版,就是循环替换法。

Phithon强调,应对这类题目最重要的是心态,不要对WAF产生惧怕心理,因为在CTF比赛中WAF总是可以绕过的。另外,要想打好一场CTF比赛,技巧是最重要的,同时还要积累一定的基础知识,还要试着去理解出题人的想法,揣摩这个题目的用意是什么。


来源网站:中国网
原文标题:补天白帽大会:想要赢得CTF比赛 技巧和心态同样重要
原文链接:http://science.china.com.cn/2017-03/31/content_9417036.htm

(原标题:补天白帽大会:想要赢得CTF比赛 技巧和心态同样重要)

netease 本文来源:台海网 责任编辑:王晓易_NE0011
分享到:
跟贴0
参与0
发贴
为您推荐
  • 推荐
  • 娱乐
  • 体育
  • 财经
  • 时尚
  • 科技
  • 军事
  • 汽车
+ 加载更多新闻
×

神秘怪鱼流入长沙市场:煮不烂嚼不动筷子戳不进

热点新闻

猜你喜欢

阅读下一篇

返回网易首页返回新闻首页
用微信扫描二维码
分享至好友和朋友圈
x