iT邦幫忙

2023 iThome 鐵人賽

DAY 4
0

正式進入到CTF實戰技術的篇章,我將會首先講一講網絡安全,也就是CTF中WEB題所牽涉的範疇。

WEB安全類型的題目在CTF中非常常見,在CTF之中非常熱門,也非常適合初學者上手
這類題目可以很簡單,但也可以涵蓋非常多個知識範疇,例如是同時要求挑戰者對於前後端的認識、涵蓋多種的語言、多種的環境等等。也因此,較難的WEB題可以花費頗多的時間。然而,在途中,這也能讓挑戰者在各範疇之中研究,使挑戰者獲得更廣泛的網絡安全知識。

Web 題要做甚麼?

owo!
最基本的Web題目一般會透過解析網頁原始碼修改HTTP請求等較為簡單的方法來完成。
當中可以涉及的技術例如有:

  • SQL 注入
  • XSS
  • 跨站請求偽造 CSRF/XSRF
  • 服務器端請求偽造 SSRF
  • 任意文件上傳漏洞
  • 任意文件包含漏洞
  • 命令注入
  • XML外部實體注入
  • 反序列化漏洞
  • 服務端模板注入 SSTI
  • 邏輯漏洞
    等等。

其中,我將會在未來的一到兩週分別介紹大部分上面列出來的內容。對於WEB安全有興趣的話,不妨多多關注接下來的文章;若是對於其他領域較有興趣,也可以先跳一下直接看我後面的文章。


上一篇
Day 03 | CTF的題目類型介紹
下一篇
Day 05 | [CTF.WEB] SQL注入
系列文
30日奪旗之旅 - 一個月不間斷研究CTF9
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言