隨著大數(shù)據(jù)、人工智能、5G等新興科技進(jìn)入大眾視野,企業(yè)面臨的網(wǎng)絡(luò)威脅也日益嚴(yán)峻。網(wǎng)絡(luò)安全的競爭,歸根結(jié)底是人才的競爭。在新興科技和產(chǎn)業(yè)不斷升級(jí)的過程中,人才的競爭也日益激烈。CTF作為全球最流行的信息安全競賽也逐漸走進(jìn)網(wǎng)安從業(yè)人員的視野中。
為促進(jìn)安全從業(yè)人員的技術(shù)交流,提升安全從業(yè)人員對(duì)漏洞利用認(rèn)知和相關(guān)能力,銀聯(lián)商務(wù)攜手上海觀初網(wǎng)絡(luò)科技有限公司,于2021年7月17日和7月18日兩天,在上海外灘中心組織了兩場面向銀聯(lián)商務(wù)安全技術(shù)人員的安全攻防CTF邀請(qǐng)賽。此次CTF比賽主要針對(duì)了常見的Web安全和PWN漏洞挖掘和利用的場景出題。為了幫助技術(shù)人員更加全面的交流安全技術(shù),銀聯(lián)商務(wù)委托觀初科技特別邀請(qǐng)了兩支知名的CTF戰(zhàn)隊(duì):復(fù)旦大學(xué)六星戰(zhàn)隊(duì)和上海交通大學(xué)的0ops戰(zhàn)隊(duì)一起進(jìn)行了一次實(shí)戰(zhàn)對(duì)抗。經(jīng)過兩天的奮戰(zhàn),團(tuán)員們攜手并肩,各展所能,取得了不錯(cuò)的成績。同時(shí)也意識(shí)到與江湖高手之間的差距。
圖1 CTF比賽平臺(tái)
賽后的講解交流,學(xué)員們也非常認(rèn)真,互動(dòng)分享了各自的解題思路。
最后的統(tǒng)計(jì)結(jié)果顯示,本次賽事銀聯(lián)商務(wù)的參賽隊(duì)中動(dòng)態(tài)得分最高的戰(zhàn)隊(duì)是3Years戰(zhàn)隊(duì),榮獲本次賽事的“優(yōu)勝戰(zhàn)隊(duì)”!NoName和CatchFlag戰(zhàn)隊(duì)分別榮獲第二名和第三名。
賽后選手表示,雖然在平常工作中十分注重安全開發(fā)和安全運(yùn)維,并具備修復(fù)系統(tǒng)漏洞的經(jīng)驗(yàn),但攻防技術(shù)領(lǐng)域還是初次接觸,充滿了挑戰(zhàn),希望將本次的經(jīng)驗(yàn)運(yùn)用到以后的工作中去。
附錄:
Capturethe flag(簡稱CTF)翻譯為“奪旗比賽’’,發(fā)展最早起源于世界黑客大會(huì),是交流安全技術(shù)的重要途徑,隨著安全攻防技術(shù)的發(fā)展,CTF競賽也逐漸演變成為網(wǎng)絡(luò)安全技術(shù)競賽的一種形式,有多種競賽模式。
解題模式(Jeopardy)
在解題模式賽制中,參賽隊(duì)伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡(luò)參與,這種模式的CTF競賽與ACM編程競賽、信息學(xué)奧賽比較類似,以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時(shí)間來排名,題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
攻防模式(Attack-Defense)
在攻防模式AWD賽制中,參賽隊(duì)伍在網(wǎng)絡(luò)空間互相進(jìn)行攻擊和防守,挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手服務(wù)來得分,修補(bǔ)自身服務(wù)漏洞進(jìn)行防御來避免丟分。攻防模式CTF賽制可以實(shí)時(shí)通過得分反映出比賽情況,最終也以得分直接分出勝負(fù),是一種競爭激烈,具有很強(qiáng)觀賞性和高度透明性的網(wǎng)絡(luò)安全賽制。通常由3-4人的團(tuán)隊(duì)分工協(xié)作完成。