赞
踩
最近很多朋友在后台私信我,问应该怎么入门CTF。
个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;
其次便是最好具备相应的编程能力,若是完全不具备这些能力极有可能直接被劝退。
毕竟比赛的时候动不动写个脚本,搞个审计的。
废话结束,对于CTF入门,现在的环境比14、15年我刚接触时好太多了,当年各类资源少的可怜,SQL注入绕WAF已经算是难题了。
而目前国内的氛围明显好太多了,涌现出了大量优秀的平台。作为初学者往往会遇到一个很关键的问题:该学哪个方向。
个人感觉,在不知道学啥的事情可以先学学Misc培养兴趣,然后在不断的做题中思考自己感兴趣的方向。
其次日后发展也是个很关键的事情,如果准备毕业后重试网络安全,那么就需要想好Web、Pwn这些方向的日后发展。
可以干哪些岗位,而这些岗位需要的对应能力、发展空间、薪资等等。
1.1、CTF赛题复现平台
各类赛事太多了,这里没法——罗列,大家前期可以刷一些校赛和小比赛,进阶刷i春秋、XCTF,后期直接刷CTFTime各类国际赛
1.3、博客与论坛
1.4、书籍与Wiki
这个时候的你已经成功出了新手村,完全由能力去做一些CTF对应的题目了。如果还没有加入战队,那么可以抓紧加入校队或是一个靠谱的联队了。
这个阶段的你需要参加大量的优质的赛事,以赛代练迅速学习各类新技能以及积累经验。通过这些大量的比赛,你掌握了快速代码审计的技巧(其他方向也类似,这里以Web为例),可以试着开始从CTF转向实战了。通过CTF中学习到的技能,开始提交你的第一个漏洞,第一个CVE,开始聚焦更为前沿的方向。
人才培养算是个永恒的话题了,还没毕业那会在虎厂也干了一段时间人才培养的事情,结合自己的带队经验简单讲讲吧。
CTF战队这块首要的便是找到志同道合的小伙伴,当然这里会涉及到一个问题,那便是校队和联队。个人认为校队和联队并不冲突,但是如果两边都要求要参加同一个比赛,应选择其中一个参加并且赛中不与另外一个队交流。
对于学校网络安全属于新学科以及战队实力较弱的学习,个人认为加入联队是一个不错的选择。在联队中可以认识来自各个学校各个领域的大佬,大家互相学习共同进步。这可以加速你的学习,以及扩展你的人脉。
当你已经具备一定能力时便可将学到的东西反哺到校队中的学习学妹,加速校队技术的提升。这其中给学弟学妹培训的PPT、课程体系、题库、靶场都要保存好,做好技术的沉淀方便后面的同学在这个基础上继续进行新—轮的学习和赋育钧。
针对想组建CTF联队的小伙伴主要提一些小建议。
不管是联队还是校队,很重要的一点便是知识的积累,不管是WiKi、WP还是培训课件与录屏。这些东西都需要时间的沉淀,只有当你有了这些沉淀才能通过这些沉淀打造自己的核心能力并吸引更多的新人。
前面说了这个时候的你应该通过CTF中学习到的技能,开始提交你的第一个漏洞,第一个CVE,开始聚焦更为前沿的方向,那么应该如何开始呢?由于本人是Web方向所以给的建议可能十分有限,仅供参考。
Web安全
Ps:不是特别清楚其他方向的,就不乱提建议了。这边根据我搞物联网车联网的经验,提一些小建议把,适合二进制方向的参考
很多人觉得CTF脱离实战。是的,现在很多CTF赛题并没有太多意义,更像是为了出题而出题。但当你抛弃那些无意义的比赛,参加一些优质赛事时就会发现,现在大量优质的比赛正在使用Oday或是非常前沿的技术在出题。在CTF比赛中你掌握了快速的学习能力、漏洞的挖掘方法与技巧、前沿漏洞的挖掘、利用脚本与工具的编写,那么现在你还觉得CTF无意义吗?
这个阶段已经临近毕业,要准备开始找工作了,注意不要错过秋招,要不然会很麻烦。找工作的时候除了公司,领导和平台也很关键,跟对一个领导会很爽。甲方工资会相对高一点,乙方更偏向项目但工资会少一点。这个看个人选择,各个实验室的情况也不太一样,可以具体情况具体看。(个人建议可以先乙方干两年,仅供参考)
应届生切记眼高手低! !!!这个很重要!!!很多人打比赛的时候来钱太快,培训比赛什么的动不动多少钱,导致觉得赚钱很简单。招聘的时候经常看到应届生,能力还行,动不动就是20k30k,你真的知道30k意味着什么吗?建议先BOSS直聘,猎聘这些看看大概的价格。不要漫天要价,也不要要太低,跟HR要价是门学问,感兴趣的我们下一期接着讲!
朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,路线图上的每一个知识点,我都有配套的视频讲解。
技术文档也是我自己整理的,包括我参加护网行动、CTF和挖SRC漏洞的经验和技术要点。
网安方面的电子书我也收藏了200多本,基本上热门的和经典的我都有,也可以共享。
学习网安技术最忌讳纸上谈兵,而在项目实战中,既能学习又能获得报酬的CTF比赛无疑是最好的试金石!
这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。