同事好友,嘱我作序;反复斟酌,乘兴弄键。
欲借此书,论些理略,说些短长,故取“入门”为题。
所谓入门,就是要入门,当有几个条件和步骤:
- 有门,确有那一门在;
- 识门,看到这一门之所在及所特别之处;
- 知门,知晓如何打开此门及迈过此门的方法和关窍;
- 进门,真的去推门,迈步而进;
- 回门,进得门后,确认自己真的进来了,而且感悟到门里门外之区别与进益。
上述五点,第一点是客观存在,也可说是作者角度的先知先觉后的传授;第二点到第五点 是期望读者当为之的步骤。
说说这些门。
网络安全以前被称为计算机安全、信息安全、信息安全保障等,现在都统一为网络空间安 全(简称网络安全)这个词。在近几十年的发展历程中,这个领域跨过了几道门——密码门、病 毒门、黑客攻防门、保障体系门、漏洞门和APT门。跨过这些门的人有先有后,军方常常是跨 过这些门的先觉者和先行者;而本书所指的人群则主要是民间的企业界、学术界和教育界人士。
2000年的春节,曾经发生过一起轰动全球的网络安全攻击事件,就是雅虎等著名互联网网 站遭到第一次真正的分布式拒绝服务(DDoS)攻击。这一事件让“黑客”和“黑客攻击”成为全 球普通人都不感到陌生的词,也让各界人士开始看到黑客攻防这道门。国内很多教父级的攻防技术人都是在这个事件发生前后出头的(或者说入门的),很多现在有名的网络安全企业也是在那时创立的。这道门彰显了对抗的存在和攻防的必要。
作为以防御姿态存在的大多数人,很自然地就开始秉持建构主义的思想,力图构建一个保 障体系。各种风险管理标准和框架纷纷被专家们描绘出来,并在各个大小机构以及许多关键或不关键的地方进行构建。这个保障体系门有很多,只不过进了这类门,会发现门旁边的墙都有残缺、有漏洞。总有一些“逆向者”让体系发明者甚为尴尬。大家也就开始形成一种猜测(也许还未到常识的程度),即体系的完备性是得不到保证的,漏洞总是存在的。也许将来的某个时刻, 会有专家能够严谨地证明“没有反击的防御体系是不可能完备的”。
漏洞门并不否定体系门的价值,有缺口的墙并不是没有价值;不过体系必须要放下高大上 的身段,认识到自身的局限性,不能把话说满。以业界现在的集体认知,真正的安全应当是基本体系格局下攻防对抗的进进退退。只有经得住对抗的才是“真安全”。专家们的各路体系和计算也都逐渐摆到攻防挑战的台面上,这是件好事情。
在网络安全领域和对抗领域,我们不讲专家,而讲赢家;道理听过了,我们就来真的。
说说CTF。
以前学习网络安全中攻防的真功夫要靠自己的机缘。学习过程中甚至还要擦擦边、冒冒险; 但学习对抗总归要真动手才行。攻防高手切磋功夫还需要一个环境或场面。CTF改变了这个局面。至于CTF是什么,本序就不解释了,请看正文吧。
早年在国际上就有DEFCON这类的CTF,并且逐年变得稳定成熟。我国真正意义上的CTF 大致是从2014年BCTF等比赛的纷纷举办开始的,此后赛事此起彼伏,越来越热闹。
CTF对于网络安全攻防技术的学习者来说真的是一个大门。网络安全教育可以分为前CTF 时期和后CTF时期。在前CTF时期,体系化和科班学习信息安全的人们只有体系化的授课教学, 难有真动手的;而在后CTF时期,学习者完全可以在体系化的授课之外再加上系列化的动手训练。
现在典型的CTF能力体系已经可以带领学习者直奔最真的那些门,即对抗的门,如Web网 站攻防、密码破解与反破解、信息隐藏、二进制逆向、侦查取证、系统渗透与反制等。对于这一系列门,一门一门地入门其实是一条成长道路——被很多学成者验证过的道路。
不管是来自教的角度的教育反馈,还是来自学的角度的学习反馈,它们都是极为重要的。 每入一门,都应当检验自己的进益。最好的检验就是参加各种CTF。没有“养”兵千日,只有 “练”兵千日。以考带学,以赛促练。
说说入CTF门后的境界。
CTF在得到蓬勃发展后,也遭到一些“专家”的质疑,他们认为CTF怎么能够替代整个网 络安全教学呢?可是,CTF从来就没有替代网络安全教学的企图,就像奥运会、足球世界杯从 来没有想替代体育教学和全民健身。CTF只是网络安全求真者们成长的一个台阶而已。
作为狭义的CTF,它是一个有较清晰范围的知识体系、教学方式和竞赛模式。入了CTF的 门,就不再是网络安全的初学者。把“初”字去掉的学者们不应当停留在CTF这一层级,而应 继续向更复杂、更有趣的方向迈进。他们之中有些与CTF现有范围有关,如研究逆向、密码学、 Web安全等;而有些则与CTF现有范围的关联度很低,如研究区块链、APT高级分析、欺骗式 防御等。继续,别停。
说说这本《CTF安全竞赛入门》。
这本有关CTF的书就是帮助不同的人“入门的”。
如果你是传统课程教学体系的网络安全学习者,通过学习本书可以让你兼备实际动手的能 力和底气。
如果你完全是一个新手,那么可以把它作为你学习网络安全的第一本书,这也许可让你绕 道超越科班人群。
如果你觉得自己有逆向的天赋,那么可以通过学习本书做一个自我检验。
如果你想从一名传统的网络安全教师变成文武双师,通过学习本书可以更好地融合你自己的知识结构,以此训练你的弟子们。
如果你是CTF的组织者,想必经验更丰富,那么我拜托你联系本书的编著者,他们定当登 门求教,以求更新、更强。
我衷心希望有一两句话打动到你,能让你有兴趣读完和练完本书。哪怕你能修炼一半的内 容,也都是本序的荣幸。
大潘在此替编著者拜谢啦[拱手为敬]!
潘柱廷
启明星辰原首席战略官
信息安全铁人三项赛共同创办者
中国计算机学会教育工委原副主任
内容选自《CTF安全竞赛入门》一书
—————————————图书基本信息——————————————————
书名:《CTF安全竞赛入门》
ISBN: 9787302556275
定价:99.80元
出版时间:2020-10-1
京东链接:https://item.jd.com/13005602.html
内容简介:
《CTF安全竞赛入门》主要介绍目前主流CTF(夺旗赛)的比赛内容和常见的题目类型,从Web安全、密码学、信息隐写、逆向工程、PWN等方面分析题目要求并给出解题技巧。
《CTF安全竞赛入门》题量丰富,实操性强,可供准备参加CTF和想要了解安全实战技能的高校学生、IT安全人员及运维人员阅读。
编辑推荐:
《CTF安全竞赛入门》是启明星辰网络空间安全学院多位专业讲师经过多年CTF实践积累,精心打磨而成的入门指引类书籍,知识点全面,实验讲解通俗易懂,可以帮助读者朋友快速掌握Web安全、信息隐写、密码学、逆向、PWN与攻防对抗等各个方面的基础知识,以更从容地应对网络安全赛事。
转载:https://blog.csdn.net/qinghuawenkang/article/details/109493221