正式進入到CTF實戰技術的篇章，我將會首先講一講網絡安全，也就是CTF中WEB題所牽涉的範疇。

WEB安全類型的題目在CTF中非常常見，在CTF之中非常熱門，也非常適合初學者上手。
這類題目可以很簡單，但也可以涵蓋非常多個知識範疇，例如是同時要求挑戰者對於前後端的認識、涵蓋多種的語言、多種的環境等等。也因此，較難的WEB題可以花費頗多的時間。然而，在途中，這也能讓挑戰者在各範疇之中研究，使挑戰者獲得更廣泛的網絡安全知識。

Web 題要做甚麼？

最基本的Web題目一般會透過解析網頁原始碼、修改HTTP請求等較為簡單的方法來完成。
當中可以涉及的技術例如有：

• SQL 注入
• XSS
• 跨站請求偽造 CSRF/XSRF
• 服務器端請求偽造 SSRF
• 任意文件上傳漏洞
• 任意文件包含漏洞
• 命令注入
• XML外部實體注入
• 反序列化漏洞
• 服務端模板注入 SSTI
• 邏輯漏洞
  等等。

其中，我將會在未來的一到兩週分別介紹大部分上面列出來的內容。對於WEB安全有興趣的話，不妨多多關注接下來的文章；若是對於其他領域較有興趣，也可以先跳一下直接看我後面的文章。