随着大数据、人工智能(néng)、5G等新(xīn)兴科(kē)技进入大众视野,企业面临的网络威胁也日益严峻。网络安全的竞争,归根结底是人才的竞争。在新(xīn)兴科(kē)技和产业不断升级的过程中,人才的竞争也日益激烈。CTF作為(wèi)全球最流行的信息安全竞赛也逐渐走进网安从业人员的视野中。
為(wèi)促进安全从业人员的技术交流,提升安全从业人员对漏洞利用(yòng)认知和相关能(néng)力,银联商(shāng)務(wù)携手上海观初网络科(kē)技有(yǒu)限公司,于2021年7月17日和7月18日两天,在上海外滩中心组织了两场面向银联商(shāng)務(wù)安全技术人员的安全攻防CTF邀请赛。此次CTF比赛主要针对了常见的Web安全和PWN漏洞挖掘和利用(yòng)的场景出题。為(wèi)了帮助技术人员更加全面的交流安全技术,银联商(shāng)務(wù)委托观初科(kē)技特别邀请了两支知名的CTF战队:复旦大學(xué)六星战队和上海交通大學(xué)的0ops战队一起进行了一次实战对抗。经过两天的奋战,团员们携手并肩,各展所能(néng),取得了不错的成绩。同时也意识到与江湖(hú)高手之间的差距。
图1 CTF比赛平台
赛后的讲解交流,學(xué)员们也非常认真,互动分(fēn)享了各自的解题思路。
最后的统计结果显示,本次赛事银联商(shāng)務(wù)的参赛队中动态得分(fēn)最高的战队是3Years战队,荣获本次赛事的“优胜战队”!NoName和CatchFlag战队分(fēn)别荣获第二名和第三名。
赛后选手表示,虽然在平常工作中十分(fēn)注重安全开发和安全运维,并具备修复系统漏洞的经验,但攻防技术领域还是初次接触,充满了挑战,希望将本次的经验运用(yòng)到以后的工作中去。
附录:
Capturethe flag(简称CTF)翻译為(wèi)“夺旗比赛’’,发展最早起源于世界黑客大会,是交流安全技术的重要途径,随着安全攻防技术的发展,CTF竞赛也逐渐演变成為(wèi)网络安全技术竞赛的一种形式,有(yǒu)多(duō)种竞赛模式。
解题模式(Jeopardy)
在解题模式赛制中,参赛队伍可(kě)以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息學(xué)奥赛比较类似,以解决网络安全技术挑战题目的分(fēn)值和时间来排名,题目主要包含逆向、漏洞挖掘与利用(yòng)、Web渗透、密码、取证、隐写、安全编程等类别。
攻防模式(Attack-Defense)
在攻防模式AWD赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服務(wù)漏洞并攻击对手服務(wù)来得分(fēn),修补自身服務(wù)漏洞进行防御来避免丢分(fēn)。攻防模式CTF赛制可(kě)以实时通过得分(fēn)反映出比赛情况,最终也以得分(fēn)直接分(fēn)出胜负,是一种竞争激烈,具有(yǒu)很(hěn)强观赏性和高度透明性的网络安全赛制。通常由3-4人的团队分(fēn)工协作完成。