编辑“︁CTF竞赛内容”︁（章节）

= CTF 竞赛内容 =

由于 CTF 的考题范围其实比较宽广，目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话，主要还是依据常见的 '''Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全''' 以及 '''Misc 安全杂项''' 来进行分类。

<ul>
<li><p>'''Web - 网络攻防'''</p>
<p>主要介绍了 Web 安全中常见的漏洞，如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等，Web 安全中常见的题型及解题思路，并提供了一些常用的工具。</p></li>
<li><p>'''Reverse Engineering - 逆向工程'''</p>
<p>主要介绍了逆向工程中的常见题型、工具平台、解题思路，进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。</p></li>
<li><p>'''Pwn - 二进制漏洞利用'''</p>
<p>Pwn 题目主要考察二进制漏洞的发掘和利用，需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中，PWN 题目主要出现在 Linux 平台上。</p></li>
<li><p>'''Crypto - 密码攻击'''</p>
<p>主要包括古典密码学和现代密码学两部分内容，古典密码学趣味性强，种类繁多，现代密码学安全性高，对算法理解的要求较高。</p></li>
<li><p>'''Mobile - 移动安全'''</p>
<p>主要介绍了安卓逆向中的常用工具和主要问题类型，安卓逆向常常需要一定的安卓开发知识，iOS 逆向题目在 CTF 竞赛中较少出现，因此不作过多介绍。</p></li>
<li><p>'''Misc - 安全杂项'''</p>
<p>以诸葛建伟翻译的《线上幽灵：世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点，内容主要包括信息搜集、编码分析、取证分析、隐写分析等。</p></li></ul>

<span id="全国大学生信息安全竞赛---竞赛内容"></span>
== 全国大学生信息安全竞赛 - 竞赛内容 ==

2016 年全国大学生信息安全竞赛开始举办创新实践技能赛，采取的就是传统的 CTF 赛制。在《2016 年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面，值得参考。

# 系统安全。涉及操作系统和 Web 系统安全，包括 Web 网站多种语言源代码审计分析（特别是 PHP）、数据库管理和 SQL 操作、Web 漏洞挖掘和利用（如 SQL 注入和XSS）、服务器提权、编写代码补丁并修复网站漏洞等安全技能。
# 软件逆向。涉及 Windows/Linux/Android 平台的多种编程技术，要求利用常用工具对源代码及二进制文件进行逆向分析，掌握 Android 移动应用 APK 文件的逆向分析，掌握加解密、内核编程、算法、反调试和代码混淆技术。
# 漏洞挖掘和利用。掌握 C/C++/Python/PHP/Java/Ruby/汇编 等语言，挖掘 Windows/Linux（x86/x86_64 平台）二进制程序漏洞，掌握缓冲区溢出和格式化字符串攻击，编写并利用 shellcode。
# 密码学原理及应用。掌握古典密码学和现代密码学，分析密码算法和协议，计算密钥和进行加解密操作。
# 其他内容。包括信息搜集能力，编程能力、移动安全、云端计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证（Forensics）技术和文件恢复技能，计算机网络基础以及对网络流量的分析能力。

[[Category: Ctf_Intro]]