在网络安全的“上古时期”,黑客们通过互相发起真实的攻击来进行技术比拼,这会带来巨大的法律和安全风险。在1996年的第4届DEFCON全球极客大会上,CTF比赛横空出世,主办方期望通过比赛的方式,促进极客之间的技术交流与水平的提升。
早期的CTF比赛主要是为了进行技术交流和个人炫技,比赛没有明确的规则,也没有专门的平台,由组织者担任裁判。但因为裁判的水平问题,常常出现很多争议。2002年开始由专业团队来申请DEFCON CTF的主办权,CTF比赛的机制也日趋成熟。
2011年,CTF比赛来到中国,并首先在国内高校生根发芽。从2014年底开始,国内的CTF比赛越来越多。今天,大部分行业都采用CTF比赛的方式对网络安全相关岗位的员工进行培训或考核。
在CTF比赛中,选手要组队参赛,不同队伍之间通过“解题”的方式相互进攻,综合运用逆向、解密、取证分析、Web渗透等技术,设法从目标系统中获取预先设置的flag,同时尽量保护己方的flag不被别人获取。每次进攻成功就可以得分,最终得分最高者获得比赛的胜利,这也代表着所有参赛选手的最高水平。
各位读者可能已经发现,我们将本章命名为第0章,一方面这是计算机领域的特色,很多工作的编号都是从数字0开始;另一方面,在本章中不会介绍网络安全技术的细节,而是会给大家讲述一些在开始CTF之旅前需要了解的东西,就像父母的唠叨,虽然是老生常谈或者听起来不着边际,但实际上都是经验之谈。重点关注安全技术的读者也可以跳过本章,但是我们还是建议读者耐心看完本章的内容。
现在,我们就一起步入CTF之门吧!