7. 搶旗看世界 - CTF - Hsun
CTF ( Capture the flag)
鄺世銘 劉孝恩 殷珮珊 周明鴻 許家維
0. 精神課程:
你想學甚麼?先決定自己完成要做甚麼
資訊收集Information gathering
網路安全Network security
網站與網頁應用程式安全Web security
系統安全System security
加密與解密Cryptography
惡意程式檢測Malware detection
逆向工程Reversing engineering
數位鑑識Digital forensics
行動裝置Mobile devices
1. What’s CTF?
-
From 1996 DEFCON
-
Capture The Flag
-
Like Wargame
-
How to?
-
看懂題目
-
構思攻擊手法與分析題目
-
找到Flag/Key輸入後取得分數
-
2. Why CTF?
-
種類、題目變化大
-
多領域、需要不同的工具
-
成就感,少數能獲得成就感的研究環境((獲得FLAG
-
廣泛性,到處都有CTF可以玩
※國內知名CTF比賽:HITCON CTF ALS3 Final CTF 金盾決賽
※國外知名CTF比賽:DEFCON CTF SECCON CTF Codegate Secuinside CTF
3. 賽制類型
a. Attack Defense
- 擬真的環境
-
需要同時攻擊與防禦
b. Jeopardy (解謎式)
i. 自由參加
ii. 獲得Flag就獲勝
c. King of Hill
i. 參賽者攻擊主辦方的伺服器
4. CTF類型
-
Web 攻擊目標網頁/網站/網路服務
-
Forensic 分析得到的檔案並找到隱藏資訊
-
Crypto 密碼學,需要分析加密方式並解出明文
-
Pwn/Exploit 目標是攻擊執行對方主機上的Binary
-
Reverse 反組譯一個Binary
-
MISC 其他難以分類的類型
-
Recon 主辦方的Bouns
-
Trivia 給參賽者一段敘述,回答敘述的內容是那些東西
5. CTF 規則
-
找到漏洞,發動一對一攻擊得分
-
找到0-day,可發動一對多攻擊得分
-
關閉Sever,放棄得分
6. Lab
-
清華資安招生題目 https://goo.gl/iam3Rp
-
CTF練習平台(由2011年某CTF強國製作) https://ctftime.org/
7. 資料來源
- iThome 一次看懂CTF資安攻防賽 http://www.ithome.com.tw/news/102969
- 數位時代 [假日小辭典] 什麼是駭客 CTF 競賽? https://www.bnext.com.tw/article/37765
- Hitcon HITCON CTF 導覽 http://www.slideshare.net/HacksInTaiwan/hitcon-ctf
- HitconGirls HITCON GIRLS CTF 介紹 http://www.slideshare.net/HITCONGIRLS/hitcon-girls-ctf