何入CTF的“門”？——所謂入門就是入門

同事好友，囑我作序；反覆斟酌，乘興弄鍵。

欲藉此書，論些理略，說些短長，故取“入門”為題。

所謂入門，就是要入門，當有幾個條件和步驟：

 

• 有門，確有那一門在；
• 識門，看到這一門之所在及所特別之處；
• 知門，知曉如何開啟此門及邁過此門的方法和關竅；
• 進門，真的去推門，邁步而進；
• 回門，進得門後，確認自己真的進來了，而且感悟到門裡門外之區別與進益。

上述五點，第一點是客觀存在，也可說是作者角度的先知先覺後的傳授；第二點到第五點 是期望讀者當為之的步驟。

 

說說這些門。

網路安全以前被稱為電腦保安、資訊保安、資訊保安保障等，現在都統一為網路空間安 全(簡稱網路安全)這個詞。在近幾十年的發展歷程中，這個領域跨過了幾道門——密碼門、病 毒門、黑客攻防門、保障體系門、漏洞門和APT門。跨過這些門的人有先有後，軍方常常是跨 過這些門的先覺者和先行者；而本書所指的人群則主要是民間的企業界、學術界和教育界人士。

2000年的春節，曾經發生過一起轟動全球的網路安全攻擊事件，就是雅虎等著名網際網路網 站遭到第一次真正的分散式拒絕服務(DDoS)攻擊。這一事件讓“黑客”和“黑客攻擊”成為全 球普通人都不感到陌生的詞，也讓各界人士開始看到黑客攻防這道門。國內很多教父級的攻防技術人都是在這個事件發生前後出頭的(或者說入門的)，很多現在有名的網路安全企業也是在那時創立的。這道門彰顯了對抗的存在和攻防的必要。

作為以防禦姿態存在的大多數人，很自然地就開始秉持建構主義的思想，力圖構建一個保 障體系。各種風險管理標準和框架紛紛被專家們描繪出來，並在各個大小機構以及許多關鍵或不關鍵的地方進行構建。這個保障體系門有很多，只不過進了這類門，會發現門旁邊的牆都有殘缺、有漏洞。總有一些“逆向者”讓體系發明者甚為尷尬。大家也就開始形成一種猜測(也許還未到常識的程度)，即體系的完備性是得不到保證的，漏洞總是存在的。也許將來的某個時刻， 會有專家能夠嚴謹地證明“沒有反擊的防禦體系是不可能完備的”。   

漏洞門並不否定體系門的價值，有缺口的牆並不是沒有價值；不過體系必須要放下高大上 的身段，認識到自身的侷限性，不能把話說滿。以業界現在的集體認知，真正的安全應當是基本體系格局下攻防對抗的進進退退。只有經得住對抗的才是“真安全”。專家們的各路體系和計算也都逐漸擺到攻防挑戰的檯面上，這是件好事情。

在網路安全領域和對抗領域，我們不講專家，而講贏家；道理聽過了，我們就來真的。

 

說說CTF。

以前學習網路安全中攻防的真功夫要靠自己的機緣。學習過程中甚至還要擦擦邊、冒冒險； 但學習對抗總歸要真動手才行。攻防高手切磋功夫還需要一個環境或場面。CTF改變了這個局面。至於CTF是什麼，本序就不解釋了，請看正文吧。

早年在國際上就有DEFCON這類的CTF，並且逐年變得穩定成熟。我國真正意義上的CTF 大致是從2014年BCTF等比賽的紛紛舉辦開始的，此後賽事此起彼伏，越來越熱鬧。

CTF對於網路安全攻防技術的學習者來說真的是一個大門。網路安全教育可以分為前CTF 時期和後CTF時期。在前CTF時期，體系化和科班學習資訊保安的人們只有體系化的授課教學， 難有真動手的；而在後CTF時期，學習者完全可以在體系化的授課之外再加上系列化的動手訓練。

現在典型的CTF能力體系已經可以帶領學習者直奔最真的那些門，即對抗的門，如Web網 站攻防、密碼破解與反破解、資訊隱藏、二進位制逆向、偵查取證、系統滲透與反制等。對於這一系列門，一門一門地入門其實是一條成長道路——被很多學成者驗證過的道路。

不管是來自教的角度的教育反饋，還是來自學的角度的學習反饋，它們都是極為重要的。 每入一門，都應當檢驗自己的進益。最好的檢驗就是參加各種CTF。沒有“養”兵千日，只有 “練”兵千日。以考帶學，以賽促練。

 

說說入CTF門後的境界。

CTF在得到蓬勃發展後，也遭到一些“專家”的質疑，他們認為CTF怎麼能夠替代整個網 絡安全教學呢？可是，CTF從來就沒有替代網路安全教學的企圖，就像奧運會、足球世界盃從 來沒有想替代體育教學和全民健身。CTF只是網路安全求真者們成長的一個臺階而已。

作為狹義的CTF，它是一個有較清晰範圍的知識體系、教學方式和競賽模式。入了CTF的 門，就不再是網路安全的初學者。把“初”字去掉的學者們不應當停留在CTF這一層級，而應 繼續向更復雜、更有趣的方向邁進。他們之中有些與CTF現有範圍有關，如研究逆向、密碼學、 Web安全等；而有些則與CTF現有範圍的關聯度很低，如研究區塊鏈、APT高階分析、欺騙式 防禦等。繼續，別停。

說說這本《CTF安全競賽入門》。

這本有關CTF的書就是幫助不同的人“入門的”。

如果你是傳統課程教學體系的網路安全學習者，通過學習本書可以讓你兼備實際動手的能 力和底氣。

如果你完全是一個新手，那麼可以把它作為你學習網路安全的第一本書，這也許可讓你繞 道超越科班人群。

如果你覺得自己有逆向的天賦，那麼可以通過學習本書做一個自我檢驗。

如果你想從一名傳統的網路安全教師變成文武雙師，通過學習本書可以更好地融合你自己的知識結構，以此訓練你的弟子們。

如果你是CTF的組織者，想必經驗更豐富，那麼我拜託你聯絡本書的編著者，他們定當登 門求教，以求更新、更強。

我衷心希望有一兩句話打動到你，能讓你有興趣讀完和練完本書。哪怕你能修煉一半的內 容，也都是本序的榮幸。

大潘在此替編著者拜謝啦[拱手為敬]！

 

 

 

潘柱廷

啟明星辰原首席戰略官

資訊保安鐵人三項賽共同創辦者

中國計算機學會教育工委原副主任

 

內容選自《CTF安全競賽入門》一書

—————————————圖書基本資訊——————————————————

書名：《CTF安全競賽入門》

ISBN: 9787302556275

定價：99.80元

出版時間：2020-10-1

京東連結：https://item.jd.com/13005602.html

 

內容簡介：

 《CTF安全競賽入門》主要介紹目前主流CTF(奪旗賽)的比賽內容和常見的題目型別，從Web安全、密碼學、資訊隱寫、逆向工程、PWN等方面分析題目要求並給出解題技巧。

《CTF安全競賽入門》題量豐富，實操性強，可供準備參加CTF和想要了解安全實戰技能的高校學生、IT安全人員及運維人員閱讀。

編輯推薦：

《CTF安全競賽入門》是啟明星辰網路空間安全學院多位專業講師經過多年CTF實踐積累，精心打磨而成的入門指引類書籍，知識點全面，實驗講解通俗易懂，可以幫助讀者朋友快速掌握Web安全、資訊隱寫、密碼學、逆向、PWN與攻防對抗等各個方面的基礎知識，以更從容地應對網路安全賽事。