CTF信息安全競賽實戰(zhàn)演練培訓班
CTF信息安全競賽實戰(zhàn)演練培訓班詳細內(nèi)容
CTF信息安全競賽實戰(zhàn)演練培訓班(北京,9月13-18日)
【培訓日期】2021年9月13-18日
【培訓地點】北京
【課程背景】
CTF(Capture The Flag,奪旗賽)是一種流行于網(wǎng)絡安全技術(shù)人員之間的一種信息安全技術(shù)競賽。其前身是傳統(tǒng)黑客之間網(wǎng)絡技術(shù)比拼的游戲,以代替之前黑客們通過互相發(fā)起真實攻擊進行技術(shù)比拼的方式。起源于1996年第四屆DEFCON?,F(xiàn)在已成為全球范圍網(wǎng)絡安全圈流行的競賽形式。
通常CTF分為三種賽制:解題賽(Jeopardy)、攻防賽(Attack-Defence)和混合賽。
競賽模式基本分為解題模式、攻防模式和混合模式。大多題目的內(nèi)容基本包括web安全,密碼學、逆向、二進制安全編程類題目等國內(nèi)外有很多CTF比賽。
解題賽是線上賽通常采取的賽制,題目通常分為多個類型,如Web,F(xiàn)orensic(取證),Crypto(密碼學),Binary(二進制)等。團隊或個人可以通過解題獲得一串具有一定格式的字符串,也就是flag。將flag提交到競賽平臺可以獲得積分。題目的難度越大,分值就越高。當比賽結(jié)束后,得分最高者勝出。
攻防賽是另一種有趣的賽制,常見于線下決賽。攻防賽中,每個隊伍都會被分配一臺主機或虛擬機,稱為gamebox,隊員可以通過網(wǎng)絡連接到gamebox。而所有隊伍的gamebox通過內(nèi)網(wǎng)連接在一起。每個隊伍的gamebox上都運行著多個相同的服務。參賽隊伍需要挖掘服務的漏洞,然后攻擊其他隊伍的服務來獲取flag,并提交給計分服務器來獲取積分。與此同時,參賽隊伍還需要修補自身服務中的漏洞來防止丟分。攻防賽不僅考驗了參賽選手的技術(shù)水平,還考驗了參賽者的體力,因為通常參賽者需要連續(xù)混合賽可能采取解題賽和攻防賽的混合模式,也可能是其他形式。
【課程大綱】
1CTF入門
1.CTF概念和入門
2.國內(nèi)外安全攻防比賽現(xiàn)狀
3.攻防比賽方式和題型介紹
4.安全培訓基礎環(huán)境介紹和配置搭建
5.實訓期間所需工具包和資料分發(fā)
6.操作系統(tǒng)命令和數(shù)據(jù)庫基礎
7.PHP和python程序入門
8.數(shù)據(jù)庫基礎入門和SQL語言簡述
9.網(wǎng)絡安全攻防滲透基礎知識(搜集、定點、攻擊等)
10.Linux安全基礎(基本命令、系統(tǒng)管理、反彈shell等)
11.Windows安全基礎(DOS/PS基本命令、用戶權(quán)限、AD、網(wǎng)絡協(xié)議等)
2數(shù)據(jù)隱寫
1.數(shù)據(jù)隱寫基礎和工具分發(fā)
2.隱寫比賽模式和題型分析
3.隱寫專項練習:圖片隱寫、視頻隱寫、音頻隱寫、網(wǎng)絡協(xié)議隱藏、pdf隱寫、壓縮文件隱寫等
■MISC雜項
1.常見MISC雜項題目分析
2.網(wǎng)絡流量協(xié)議分析基礎
3.Wireshark工具實操
4.系統(tǒng)日志分析思路
5.社會工程學概念
6.其他技術(shù)點探討
3■密碼編碼
1.常見比賽密碼學題型分析
2.密碼編碼工具介紹和分發(fā)
3.密碼學理論基礎(凱撒、柵欄、莫斯等)
4.古典密碼學題型分析
5.編碼解碼基礎入門
6.常見編碼解碼題型分析
■密碼學進階
1.現(xiàn)代密碼學入門
2.算法加解密原理
3.題型分析和關鍵代碼學習
4.其他算法介紹
■綜合訓練
1.隱寫技術(shù)復習
2.密碼學復習
3.題目答疑解惑
4.雜項題目實操
4■WEB基礎
1.Web漏洞基礎和工具介紹
2.WEB爆破和burp實操
3.任意文件下載和信息泄露
4.文件上傳和文件解析漏洞分析
5.XSS跨站攻擊(反射、存儲、DOM)靶場實操
6.命令執(zhí)行原理和OS命令強化
7.代碼執(zhí)行和PHP代碼強化
8.XXE原理分析和賽題解析
■SQLI提高
■SQL注入基礎(原理、工具、SQLMAP等)
SQL注入進階(報錯、盲注、聯(lián)合、寬字節(jié)、二階注入、二次編碼等注入)
■WEB強化
1.PHP反序列化題型分析
2.SSRF原理和題型分析
3.弱類型技術(shù)原理
4.變量覆蓋和條件競爭
5.文件包含強化(偽協(xié)議、結(jié)合上傳、結(jié)合XSS等)
6.SSTI模板注入分析(flask等框架介紹)
■代碼審計
1.python安全編程與代碼審計
2.PHP安全編程與代碼審計
3.Java、JSP安全編程與代碼審計
4.代碼審計工具和真題分析
■實操練習
■典型題目實操練習和指導
5逆向工程
1.逆向工程入門
2.匯編語言基礎和關鍵語句詳解
3.PE格式介紹和X86/X64平臺原理
4.靜態(tài)分析和動態(tài)調(diào)試工具介紹
5.代碼和數(shù)據(jù)結(jié)構(gòu)分析
6.逆向題目技術(shù)點分析和題型介紹
7.Android基礎和逆向題型
8.逆向題目實操和技能強化
9.【PWN入門和題型概述】(酌情)
6■CTF模擬訓練
■個人奪旗戰(zhàn)和AWD攻防混戰(zhàn)(0.5天)
■CTF解題賽
■(提供賽題和比賽平臺,1.5天)
學員交流與返程
【講師介紹】
趙老師,從事信息安全技術(shù)研究和管理工作十余年多,擅長網(wǎng)絡攻防、滲透測試、漏洞挖掘、應用安全、逆向分析、木馬病毒、主機數(shù)據(jù)庫安全測試加固、安全編程,積累了豐富的管理顧問實戰(zhàn)經(jīng)驗,精通網(wǎng)絡安全架構(gòu)及安全評估、精通WEB滲透及防御技術(shù)。曾參與國內(nèi)多家網(wǎng)絡安全競賽攻防項目。
郭老師,取得認證:安全 CCIE,SP CCIE,UC 統(tǒng)一通信 CCIE,CCSI,CCDP,MCSE,CISP-PTE,CISSP、CISP等,專業(yè)技能: 計算機語言:Python、C++、匯編、PHP; 了解基本二進制漏洞,熟悉Web攻防,熟練掌握各類Web漏洞的成因/利用方式/危害性/繞過思路,以及正確修復方法; 有豐富的滲透測試經(jīng)驗,熟練掌握metasploit等攻擊框架,以及內(nèi)網(wǎng)滲透、系統(tǒng)漏洞利用、權(quán)限提升、服務器加固等相關技術(shù); 深入了解 TCP/IP 理論和 ISO 網(wǎng)絡模型, 具備深厚、全面的路由交換技術(shù)以及 VOIP、Wireless LAN、網(wǎng)管技術(shù);有若干大型 IP 網(wǎng)絡建設工程的設計及項目實施經(jīng)驗;熟悉主流的信息安全產(chǎn)品及解決方案; 熟練掌握網(wǎng)絡數(shù)通產(chǎn)品調(diào)試、故障排除、軟件系統(tǒng)升級等技術(shù)(思科/微軟/Juniper/綠盟/華為/H3C 等)。 熟悉 Frame Relay,ATM,SDH,光傳輸,CA server,AAA server, CallManager server,CiscoWorks,SSL VPN, IPSec VPN,MPLS VPN,等常用網(wǎng)絡的安裝調(diào)試及故障檢測;深入掌握信息安全相關知識及技術(shù)技能經(jīng)驗要求; 能熟練使用各主流網(wǎng)絡安全廠商的安全設備(綠盟 IPS,IDS,WAF;思科及山石防火墻,網(wǎng)康上網(wǎng)行為管理,科來網(wǎng)絡行為回溯分析平 臺,堡壘機,VPN 網(wǎng)關,廣州天懋非法違規(guī)外聯(lián)平臺,主流態(tài)勢感知平臺,反垃圾郵件系統(tǒng)……) 具有 IT 管理流程創(chuàng)立及規(guī)范化經(jīng)驗,具備 ITIL 管理模式的相關經(jīng)驗;具 10 年以上大型信息系統(tǒng)維護和技術(shù)管理工作經(jīng)驗。
高老師, 曾任北京頂牛,安全部,滲透測試組組長,中國金融認證中心,信息安全服務部,信息安全工程師,獲得銀聯(lián)系統(tǒng)CTF線下賽-三等獎,主要項目經(jīng)歷包括Web滲透、APP安全測試(android)、微信小程序、API接口、CTF、逆向、后滲透及持久化方面,知識面比較廣。只列主要舉項目名稱,對具體漏洞無法列舉;由于某些項目的特殊性,只能大概描述下項目/任務名稱:中國聯(lián)通滲透測試項目,中國石化滲透測試項目,中遠集團滲透測試項目,南方電網(wǎng)滲透測試項目,南方航空滲透測試項目,委內(nèi)瑞拉國際培訓項目,某部隊CTF賽前培訓,第二屆強網(wǎng)杯CTF挑戰(zhàn)賽(線上三等獎,線下三等獎),網(wǎng)信辦滲透測試任務,無人機takeover項目,聯(lián)通支付平臺滲透測試項目等。
【費用及報名】
1、費用:培訓費9800元(含培訓費、講義費);如需食宿,會務組可統(tǒng)一安排,費用自理。
推薦課程
戰(zhàn)略落地—業(yè)績突破訓戰(zhàn)工作坊 2025-02-13
課程費用:4980元/人 (含培訓費、教材費、場地費、午餐、茶歇費及稅金)參訓對象:企業(yè)中高層管理者、職能部門和業(yè)務部門負責人、項目負責人、關鍵和儲備人才等。課程地點:上海課程時間:2天第一期第二期第三期2月13-14日6月12-13日10月31-11月1日課程背景:在當今快速變化的商業(yè)環(huán)境中,企業(yè)戰(zhàn)略的制定與執(zhí)行成為決定其成敗的關鍵因素。然而,許多企業(yè)面臨...
講師:吳智才詳情
《Power BI數(shù)據(jù)分析與呈現(xiàn)》線上訓練營 2025-02-13
《Power BI數(shù)據(jù)分析與呈現(xiàn)》線上訓練營?課程背景本訓練營主要培訓數(shù)據(jù)分析與數(shù)據(jù)呈現(xiàn)的Power BI實戰(zhàn)技能,培養(yǎng)滿足企業(yè)工作需要的數(shù)據(jù)分析與可視化技能要求,使學員具備良好的數(shù)據(jù)處理、數(shù)據(jù)建模分析、特別是數(shù)據(jù)可視化報表呈現(xiàn)能力。?您的工作是否面臨以下難題:l有大量重復性的手工整理數(shù)據(jù)工作定期從系統(tǒng)抓取數(shù)據(jù),需要對格式做重復性修改(改日期格式、分列、去重...
講師:王中明詳情
PMP項目管理國際認證 2025-02-13
PMP項目管理國際認證培訓方式標準錄播課+直播沖刺課培訓時長52課時(隨報隨學)發(fā)證單位:美國項目管理協(xié)會(PMI)課程信息培訓形式標準錄播課+ 直播沖刺課課程時長52課時(錄播28課時,直播2H12晚)直播時間1月14日--17日(4晚)2月13日--14日、18--20日、25日--27日(8晚)增值服務提供視頻回放免費學習一年學習平臺PC端:https...
詳情
企業(yè)培訓體系構(gòu)建與培訓管理實務 2025-02-14
課程背景:1、本課程在較為系統(tǒng)的框架基礎上,理清了培訓管理工作這一管理領域的眾多模糊問題,真正站在了培訓管理者而不光是操作者、培訓者的角度,向培訓管理者提供了一系列具有實務操作性的工具、思考方式、培訓理念、工作風格;2、課程對于有機會接觸企業(yè)培訓各個領域的培訓管理者尤為重要,對于從事過一階段的培訓管理工作,已經(jīng)感受到培訓管理中一些難點與重點的朋友尤其適合;3...
講師:田勝波詳情
ISO45001:2018職業(yè)健康安全管理體系理解、實施及內(nèi)審技巧培訓 2025-02-14
ISO45001:2018職業(yè)健康安全管理體系理解、實施及內(nèi)審技巧培訓【1天版】課程時間2025年2月14日 1天(9:00-16:00;6H/天)培訓費用1200元/人(含教材和證書);線上線下同步。開課地點:蘇州課程背景 l對于職業(yè)健康安全管理人員來說:如何建立起系統(tǒng)的安全管理體系,盡可能的降低風險,將事故拒之門外?如何做好現(xiàn)場崗位安全管理?如何拓展員工...
講師:曹老師詳情
企業(yè)培訓體系構(gòu)建與培訓管理實務 2025-02-14
企業(yè)培訓體系構(gòu)建與培訓管理實務主講:田勝波 老師培訓費用:5200元/人(含培訓費、資料費、午餐費、茶點、結(jié)業(yè)證書費等)食宿自理。課程背景:1、本課程在較為系統(tǒng)的框架基礎上,理清了培訓管理工作這一企業(yè)管理領域的眾多模糊問題,真正站在了培訓管理者而不光是操作者、培訓者的角度,向培訓管理者提供了一系列具有實務操作性的工具、思考方式、工作風格;2、課程對于有機會接...
講師:田勝波詳情
企業(yè)出海視角下的全球貿(mào)易合規(guī) 2025-02-16
企業(yè)出海視角下的全球貿(mào)易合規(guī) 【開課時間】2025年1月16日 2月26日3月27日【課程形式】 直播課 (使用騰訊會議軟件)(每天13:30開始,45分鐘一課時,每期共計3課時)【課程費用】¥1299元/1期/1賬號(包含:培訓費、紙質(zhì)版教材、發(fā)票)備注:本次培訓不含電子教材,線上每個賬號只包含一本紙質(zhì)版教材,如需額外增加:30元/本【參加對象...
講師:孫怡詳情
新客戶開發(fā)與銷售業(yè)績提升 2025-02-18
2024年02月27上海 2024年04月17上海2024年07月09上海 2024年09月11上海2024年11月12上海課程目標掌握新客戶開發(fā)的精髓和技巧學會運用新客戶開發(fā)提升產(chǎn)品的銷售業(yè)績課程大綱需要明白的一件事課前調(diào)查與模擬拜訪新客戶開發(fā)的全流程1、劃定潛在客戶范圍劃定依據(jù)挖掘客戶的一般方法2、收集資料建立客戶數(shù)據(jù)庫數(shù)據(jù)庫的一般內(nèi)容數(shù)據(jù)庫的珍貴內(nèi)容資...
講師:嚴家明詳情
PMP項目管理國際認證 2025-02-18
PMP項目管理國際認證培訓方式標準錄播課+直播沖刺課培訓時長52課時(隨報隨學)發(fā)證單位:美國項目管理協(xié)會(PMI)課程信息培訓形式標準錄播課+ 直播沖刺課課程時長52課時(錄播28課時,直播2H12晚)直播時間1月14日--17日(4晚)2月13日--14日、18--20日、25日--27日(8晚)增值服務提供視頻回放免費學習一年學習平臺PC端:https...
詳情
FMEA失效模式與影響分析 (DFMEA/PFMEA) 2025-02-18
培訓時間/地點:2025年2月1820日(星期二 星期四)/上 海2025年5月78日(星期三 星期四)/嘉 興2025年7月1517日(星期二 星期四)/蘇州2025年10月2830日(星期二 星期四)/上 海收費標準:¥4500/人?含授課費、證書費、資料費、午餐費、茶點費、會務費、稅費?不包含學員往返培訓場地的交通費用、住宿費用、早餐及晚餐課程特點:緊...
講師:劉老師詳情
- [潘文富]經(jīng)銷商終端建設的基本推進
- [潘文富]中小企業(yè)招聘廣告的內(nèi)容完
- [潘文富]優(yōu)化考核方式,減少員工抵
- [潘文富]廠家心目中的理想化經(jīng)銷商
- [潘文富]經(jīng)銷商的產(chǎn)品驅(qū)動與管理驅(qū)
- [王曉楠]輔警轉(zhuǎn)正方式,定向招錄成為
- [王曉楠]西安老師招聘要求,西安各區(qū)
- [王曉楠]西安中小學教師薪資福利待遇
- [王曉楠]什么是備案制教師?備案制教
- [王曉楠]2024年陜西省及西安市最