【時間地點】 | 2021年9月13-18日 北京 (18日學(xué)員交流與返程) |
|
【培訓(xùn)講師】 | 多名講師 | |
【參加對象】 | 不限 | |
【參加費用】 | ¥9800元/人 (含培訓(xùn)費、培訓(xùn)期間午餐、證書費等),食宿可統(tǒng)一安排,費用自理。 | |
【會務(wù)組織】 | 森濤培訓(xùn)網(wǎng)(lailaliao.cn).廣州三策企業(yè)管理咨詢有限公司 | |
【咨詢電話】 | 020-34071250;020-34071978(提前報名可享受更多優(yōu)惠) | |
【聯(lián) 系 人】 | 龐先生,鄧小姐;13378458028、18924110388(均可加微信) | |
【在線 QQ 】 | 568499978 | 課綱下載 |
【溫馨提示】 | 本課程可引進到企業(yè)內(nèi)部培訓(xùn),歡迎來電預(yù)約! |
培訓(xùn)背景
CTF(Capture The Flag,奪旗賽)是一種流行于網(wǎng)絡(luò)安全技術(shù)人員之間的一種信息安全技術(shù)競賽。其前身是傳統(tǒng)黑客之間網(wǎng)絡(luò)技術(shù)比拼的游戲,以代替之前黑客們通過互相發(fā)起真實攻擊進行技術(shù)比拼的方式。起源于1996年第四屆DEFCON,F(xiàn)在已成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式。
通常CTF分為三種賽制:解題賽(Jeopardy)、攻防賽(Attack-Defence)和混合賽。
競賽模式基本分為解題模式、攻防模式和混合模式。大多題目的內(nèi)容基本包括web安全,密碼學(xué)、逆向、二進制安全編程類題目等國內(nèi)外有很多CTF比賽。
解題賽是線上賽通常采取的賽制,題目通常分為多個類型,如Web,F(xiàn)orensic(取證),Crypto(密碼學(xué)),Binary(二進制)等。團隊或個人可以通過解題獲得一串具有一定格式的字符串,也就是flag。將flag提交到競賽平臺可以獲得積分。題目的難度越大,分值就越高。當比賽結(jié)束后,得分最高者勝出。
攻防賽是另一種有趣的賽制,常見于線下決賽。攻防賽中,每個隊伍都會被分配一臺主機或虛擬機,稱為gamebox,隊員可以通過網(wǎng)絡(luò)連接到gamebox。而所有隊伍的gamebox通過內(nèi)網(wǎng)連接在一起。每個隊伍的gamebox上都運行著多個相同的服務(wù)。參賽隊伍需要挖掘服務(wù)的漏洞,然后攻擊其他隊伍的服務(wù)來獲取flag,并提交給計分服務(wù)器來獲取積分。與此同時,參賽隊伍還需要修補自身服務(wù)中的漏洞來防止丟分。攻防賽不僅考驗了參賽選手的技術(shù)水平,還考驗了參賽者的體力,因為通常參賽者需要連續(xù)混合賽可能采取解題賽和攻防賽的混合模式,也可能是其他形式。
培訓(xùn)介紹
本次CTF競賽培訓(xùn)包括培訓(xùn)和考核兩部分,5天集中培訓(xùn)和2天考核。
日程安排
序號 |
項目 |
內(nèi)容 |
1 |
CTF入門 |
|
2 |
數(shù)據(jù)隱寫 |
|
MISC雜項 |
| |
3 |
密碼編碼 |
|
密碼學(xué)進階 |
| |
綜合訓(xùn)練 |
| |
4 |
WEB基礎(chǔ) |
|
SQLI提高 |
SQL注入基礎(chǔ)(原理、工具、SQLMAP等) | |
WEB強化 |
| |
代碼審計 |
| |
實操練習(xí) |
典型題目實操練習(xí)和指導(dǎo) | |
5 |
逆向工程 |
|
6 |
CTF模擬訓(xùn)練 |
個人奪旗戰(zhàn)和AWD攻防混戰(zhàn)(0.5天) |
CTF解題賽 |
(提供賽題和比賽平臺,1.5天) | |
18日 |
學(xué)員交流與返程 |
授課專家
趙老師 從事信息安全技術(shù)研究和管理工作十余年多,擅長網(wǎng)絡(luò)攻防、滲透測試、漏洞挖掘、應(yīng)用安全、逆向分析、木馬病毒、主機數(shù)據(jù)庫安全測試加固、安全編程,積累了豐富的管理顧問實戰(zhàn)經(jīng)驗,精通網(wǎng)絡(luò)安全架構(gòu)及安全評估、精通WEB滲透及防御技術(shù)。曾參與國內(nèi)多家網(wǎng)絡(luò)安全競賽攻防項目。
郭老師 取得認證:安全 CCIE,SP CCIE,UC 統(tǒng)一通信 CCIE,CCSI,CCDP,MCSE,CISP-PTE,CISSP、CISP等,專業(yè)技能: 計算機語言:Python、C++、匯編、PHP; 了解基本二進制漏洞,熟悉Web攻防,熟練掌握各類Web漏洞的成因/利用方式/危害性/繞過思路,以及正確修復(fù)方法; 有豐富的滲透測試經(jīng)驗,熟練掌握metasploit等攻擊框架,以及內(nèi)網(wǎng)滲透、系統(tǒng)漏洞利用、權(quán)限提升、服務(wù)器加固等相關(guān)技術(shù); 深入了解 TCP/IP 理論和 ISO 網(wǎng)絡(luò)模型, 具備深厚、全面的路由交換技術(shù)以及 VOIP、Wireless LAN、網(wǎng)管技術(shù);有若干大型 IP 網(wǎng)絡(luò)建設(shè)工程的設(shè)計及項目實施經(jīng)驗;熟悉主流的信息安全產(chǎn)品及解決方案; 熟練掌握網(wǎng)絡(luò)數(shù)通產(chǎn)品調(diào)試、故障排除、軟件系統(tǒng)升級等技術(shù)(思科/微軟/Juniper/綠盟/華為/H3C 等)。 熟悉 Frame Relay,ATM,SDH,光傳輸,CA server,AAA server, CallManager server,CiscoWorks,SSL VPN, IPSec VPN,MPLS VPN,等常用網(wǎng)絡(luò)的安裝調(diào)試及故障檢測;深入掌握信息安全相關(guān)知識及技術(shù)技能經(jīng)驗要求; 能熟練使用各主流網(wǎng)絡(luò)安全廠商的安全設(shè)備(綠盟 IPS,IDS,WAF;思科及山石防火墻,網(wǎng)康上網(wǎng)行為管理,科來網(wǎng)絡(luò)行為回溯分析平 臺,堡壘機,VPN 網(wǎng)關(guān),廣州天懋非法違規(guī)外聯(lián)平臺,主流態(tài)勢感知平臺,反垃圾郵件系統(tǒng)……) 具有 IT 管理流程創(chuàng)立及規(guī)范化經(jīng)驗,具備 ITIL 管理模式的相關(guān)經(jīng)驗;具 10 年以上大型信息系統(tǒng)維護和技術(shù)管理工作經(jīng)驗。
高老師 曾任北京頂牛,安全部,滲透測試組組長,中國金融認證中心,信息安全服務(wù)部,信息安全工程師,獲得銀聯(lián)系統(tǒng)CTF線下賽-三等獎,主要項目經(jīng)歷包括Web滲透、APP安全測試(android)、微信小程序、API接口、CTF、逆向、后滲透及持久化方面,知識面比較廣。只列主要舉項目名稱,對具體漏洞無法列舉;由于某些項目的特殊性,只能大概描述下項目/任務(wù)名稱:中國聯(lián)通滲透測試項目,中國石化滲透測試項目,中遠集團滲透測試項目,南方電網(wǎng)滲透測試項目,南方航空滲透測試項目,委內(nèi)瑞拉國際培訓(xùn)項目,某部隊CTF賽前培訓(xùn),第二屆強網(wǎng)杯CTF挑戰(zhàn)賽(線上三等獎,線下三等獎),網(wǎng)信辦滲透測試任務(wù),無人機takeover項目,聯(lián)通支付平臺滲透測試項目等。