3月30日, 首個面向全球白帽和技術精英開放的、專注於漏洞回應和防護的全球性安全行業大會——補天白帽大會在深圳舉行, 長亭科技安全研究人員Phithon發表演講時表示, “CTF比賽是一個可以快速積累安全知識的方式, 當然也可以是一個資訊安全從業從入門到放棄的路, 要想贏得CTF比賽的勝利, 沒有銀彈、沒有捷徑, 只有多加訓練。 ”
長亭科技安全研究人員 Phithon發表議題
Phithon介紹到, PHP弱類型這種題目出現在CTF比賽中的概率裡非常高。 第一個最原始的就是進行strcmp字串比較, 這樣的題目在實際中並不多。 第二類是字串比較升級版, 這個題目的核心意思是你能不能找到一個字串兩個參數相等, 然後他們的原值不相等的變數。 第三類是在實戰中是經常遇到的, 用戶傳入了他的用戶名, WAF在資料庫裡將使用者密碼查詢出來, 然後進行密碼比較, 如果比較相等, 他就登錄成功。
第二個題目是藏源碼的一百種方式, 藏源碼是CTF比賽的必備技巧, 我們要研究出題人為什麼出這些題目, Phithon提到, 首先這個題目的考點是代碼審計, 二是獲取源碼的過程也是考點之一, 這時候出題人往往會把源碼給出來。 三比較困難的一類, 有時候通過黑盒是沒法把這個漏洞挖掘出來的, 他很可能就會給你源碼, 比如直接嵌在HTML注釋中或者直接給一個檔讀取漏洞, 這是簡單粗暴的源碼洩露題目。
Phithon對哪些地方可以藏源碼進行了總結, 首先是代碼包, 二是版本控制檔, 三是一些開發環境遺留比如Mac檔案管理員, 四是文件讀取漏洞, 五是簡單逆向, 六是資料包分析。
第三個題目有關WAF, 這與找源碼是一樣的問題, 我們在實際工作中遇到WAF確實很多,
Phithon強調, 應對這類題目最重要的是心態, 不要對WAF產生懼怕心理, 因為在CTF比賽中WAF總是可以繞過的。 另外, 要想打好一場CTF比賽, 技巧是最重要的, 同時還要積累一定的基礎知識, 還要試著去理解出題人的想法, 揣摩這個題目的用意是什麼。