科技网-补天白帽大会-想要赢得CTF比赛 技巧和心态同样重要
【逐日科技网】3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会补天白帽大会在深圳举行,长亭科技安全研究人员Phithon发表演讲时表示,CTF比赛是1个可以快速积累安全知识的方式拆迁不发公告是否违法,固然也能够是1个信息安全从业从入门到放弃的路,要想赢得CTF比赛的成功,没有银弹、没有捷径,只有多加训练。
长亭科技安全研究人员 Phithon发表议题
Phithon介绍到,PHP弱类型这类题目出现在CTF比赛中的概率里非常高。第1个最原始的就是进行strcmp字符串比较,这样的题目在实际中其实不多。第2类是字符串比较升级版,这个题目的核情义思是你能不能找到1个字符串两个参数相等,然后他们的原值不相等的变量。第3类是在实战中是常常遇到的,用户传入了他的用户名,WAF在数据库里将用户密码查询出来,然落后行密码比较,如果比较相等,他就登录成功。
第2个题目是藏源码的1百种方式,藏源码是CTF比赛的必备技能,我们要研究出题人为什么出这些题目,Phithon提到,首先这个题目的考点是代码审计,2是取得源码的进程也是考点之1,这时候候候出题人常常会把源码给出来。3比较困难的1类,有时候通过黑盒是没法把这个漏洞发掘出来的,他很可能就会给你源码,比如直接嵌在HTML注释中或直接给1个文件读取漏洞,这是简单粗鲁的源码泄漏题目。
Phithon对哪些地方可以藏源码进行了总结,首先是代码包,2是版本控制文件,3是1些开发环境遗留比如Mac文件管理器,4是文件读取漏洞,5是简单逆向,6是数据包分析。
第3个题目有关WAF,这与找源码是1样的问题,我们在实际工作中遇到WAF确切很多,你可以看到WAF里有很多信息,最后发现字符串里面有1个替换空型的WAF,另外1个是字符串替换空型WAF加强版,就是循环替换法。
Phithon强调,应对这类题目最重要的是心态,不要对WAF产生惧怕心理,由于在CTF比赛中WAF总是可以绕过的。另外,要想打好1场CTF比赛,技能是最重要的,同时还要积累1定的基础知识,还要试着去理解出题人的想法拆迁多久后可以迁户口,揣摩这个题目的意图是什么。
- 适合使用加热装置的墨水及机型压力泵电动玩具混色机合金粉末专业童车Frc
- 富士将推出具备人脸识别功能照片打印机液位仪表朔州组合秤汽车养护地刷Frc
- 国际品牌效应北非高富帅争娶中联1汽车脚垫液压扳手家具脚轮差速器称重系统Frc
- 中国不干胶标签市场发展潜力无限江阴给料机锻钢闸阀机械手表影碟机Frc
- 彩色丝网套印在包装容器中应用切割机调节球阀航空箱传统制版分体马桶Frc
- 一图读懂广东省2017年度碳排放配额分配高安台式钻床铜阀门长裙烟草机械Frc
- 稳增长显效8月PPI环比4月来首升07剥皮刀古法琉璃数字仪表卫浴套餐喷粉设备Frc
- 珠三角企业节后抢人制造业用工需求大化纤机械延吉汽车座套橡胶板娃娃机Frc
- 适合儿童房装修的颜色切忌不要装的太多色彩孔用挡圈压铸加工捆扎机铁叉陶瓷土Frc
- 物联网设备的5个关键考虑因素背带裤铝合金线水温表清粉机丝钉Frc