存档

‘安全活动’ 分类的存档

CTF领域指南

2015年2月15日 没有评论

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

如何开始CTF比赛之旅

2014年6月20日 没有评论

原文:http://www.endgame.com/blog/how-to-get-started-in-ctf.html

翻译:赵阳

在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAWPico CTFMicrocorruption或是其他的。通过实践、耐心和奉献精神,你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣,这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别,注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的,如果你的长处是取证,但是你对加密不在行,取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知,这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼,现在有很多自学的机会!CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pr[……]

阅读全文

2013信息安全技能竞赛团队运维赛进入倒计时

2013年9月4日 没有评论

2013年9月3日下午,2013信息安全技能竞赛组委会在上海市社会科学院中山西路基地五层多功能厅召开赛前预备会,为各参赛单位领队和选手答疑释惑,共有80多人参会。

会议由组委会王怀宾主持,重点介绍了本次竞赛的分组原则和各个分组队伍的组成。本次竞赛分为银行、证券、保险、央国企和综合组5个组别,共计82只队伍参加本届运维赛,参赛队伍创历史之最。

图片1

其次对竞赛的赛程、赛制和规则做了简单介绍和说明,本次竞赛的初赛阶段分为技能赛和管理赛,其中技能赛所占比重为40%,管理赛所占比重为60%。两项赛事分别在公安部第三研究所和上海社会科学院进行,提醒选手们注意比赛的时间和地点的变化。每个组别前6名队伍进入决赛,初赛一周后公布初赛的成绩,并同时公布决赛的题目。决赛题目由组委会结合当下热点和行业特点制定。进入决赛团队10月20日提交决赛论文,并于11月初信息安全周期间进行比赛。优秀论文将在国内重点刊物进行发表,同时冠军队伍将获得中国信息安全认证中心颁发的信息安全保证人员高级认证证书。王怀宾对竞赛中存在争议的几个方面内容进行答疑,对各个团队提出的关于设备、工具、竞赛筹备规则、技术文件和方案细则中存在的不解之处进行解答,消除了大家的疑虑。

最后王怀宾希望大家能够遵守竞赛规则,配合裁判员工作,同时发挥自身水平,取得良好的成绩,在从事信息安全工作岗位的同时,和同行多多交流,提升自身防护水平。竞赛的准备工作已经就绪,希望能够举办一届精彩的赛事。(张凯)

图片2

关注信息安全竞赛微信公共账号:信息安全竞赛

[……]

阅读全文

市民信息安全宣传册–《身边的信息安全》内容征集活动即日开启

2013年8月26日 没有评论

如今的时代早已是全民互联网时代,无论衣食住行亦或吃喝玩乐,似乎早已与互联网密不可分,我们真切的感受到生在互联网时代的我们生活如此丰富多彩。

但是,就像一枚硬币,任何事物都具有双面性。当我们在享受着互联网为我们创造出如此多便捷福利的同时又有多少人真正在意可能此刻正在侵蚀着各位计算机网络的各种病毒、各位的计算机可能正在被黑客攻击、满地的网络诈骗以及文档丢失、个人信息泄露等这些危险和危害?

针对这些现象,上海市政府特别主办了信息安全周活动,在活动周期间会为广大市民发放信息安全宣传册————《身边的信息安全》。宣传册提供了许多简便实用的措施和方法,帮助大家积极防范身边的信息安全问题,主动遵守国家信息安全法律和法规,共同维护基本的信息交流方式和规则,携手营造和谐的计算机和网络使用环境。以下为暂定全部目录:

上网行为篇

1、如何防范病毒或木马的攻击

2、如何防范QQ、微博等账号被盗

3、如何保护网银安全

4、如何保护网上炒股安全

5、如何保护网上购物安全

6、如何防范网络诈骗、网上传销

7、如何防范假冒网站

8、如何防范网络非法集资诈骗

移动智能终端篇

9、如何防范垃圾短信、骚扰电话、电话诈骗

10、如何防范假冒WIFI热点

11、如何防范假冒基站

12、如何保护手机支付安全

[……]

阅读全文

“ISA信息安全保障智慧城市”系列活动之上海地区信息安全厂商交流会议

2013年7月26日 没有评论

图片1

2013年7月23日由上海市信息安全行业协会主办《上海地区信息安全厂商交流会》在上海市信息安全应急管理事务中心成功举办。此次主题是:“棱镜门后,信息安全厂商的机遇与挑战"

本次活动邀约了包括卡巴斯基、华为、网康、安恒在内的众多国内外知名信息安全厂商。会议帮助各个厂商全方位了解上海市近期信息安全工作部署以及“棱镜”事件后国内信息安全行业的新动向。

会议由信息安全行业协会副秘书长张凯主持,复旦大学美国研究中心蔡翠红博士、汪晓风博士对棱镜事件后中美信息安全行业出现的新动向,以及我国如何应对数据主权的保护等话题进行了深入地剖析。

图片2

上海市经信委安全处刘山泉对上海市信息安全重点工作介绍,详细解读了市网安办最近发布《信息安全服务机构能力评估》的评估准则,并通报了《电子政务领域安全产品应用情况报告》。

图片3

信息安全行业协会王怀宾副秘书长就2013信息安全技能竞赛的进展与组织情况进行了通报,希望各个安全厂商能够参与到竞赛的题库建设、题目场景设计和比赛中。并对上海市第二届信息安全周的活动规划进行了全面地介绍。

图片4

最后上海计算机软件技术开发中心咨询部张凯主任对信息安全等级保护测评的相关标准、评测要点及常见问题进行了的介绍。据会后统计,此次过半数单位希望进一步了解沪网安办6号、7号文、60%的单位对“信息安全保障智慧城市系列研讨会”感兴趣。

图片5

本次研讨[……]

阅读全文

PHDays夺旗比赛(CTF)决赛比赛规则

2013年5月29日 没有评论

原文:PHDays宣传手册

翻译:章典

PHDays夺旗比赛决赛名词解释

比赛镜像(Game image)

一个预装有漏洞服务的虚拟机镜像。比赛开始时,会向每个团队提供相同的比赛镜像。每个团队在比赛时对镜像文件均拥有绝对控制权,且镜像由每队自行管理。

回合(Rounds)

比赛分为几个环节,每个环节之间的间隔时间相同。

服务(Service)

比赛镜像中预装有一个含漏洞的应用程序。参赛团队要在整个比赛过程中保证服务的运行以获取资源。每一个回合中,运行的服务都会提供给团队一些资源。利用服务的漏洞,每个团队可以夺取对手的部分资源。评审团利用checker程序控制每个团队服务的可操作性。

公共服务(Common service
在服务器上安装的含漏洞的应用程序,由评审团管理。团队可以从公共服务中获得金币。每个旗子都有固定价位。

Checker

由评审团执行用于特别任务的脚本。Checker在比赛每个回合运行一次,用以控制服务的可操作性,并添加新的旗子到比赛镜像中。

旗子(Flags)

在服务环境或者是任务中包含的机密数据。服务程序中的旗子在每个回合中由checker更新一次。未经授权的用户可以利用服务程序漏洞获取旗子,并将旗子交给评审团,以此证明团队攻击成功。此外,获得的旗子也可以证明任务已经完成。

任务(Tasks)

具有唯一答案(一[……]

阅读全文

分类: 安全活动 标签: ,