补天白帽大会 来自:主页 > 科技 > 互联网 >    2017年03月31日  来源:未知  
分享到: 转播到腾讯微博 分享到搜狐微博

内容摘要:

3月30日,首个面向寰球白帽和技巧精英开放的、专注于漏洞响应和防护的全球性安全行业大会??补天白帽大会在深圳举办,长亭科技安全研究人员Phithon发表演讲时表现,“CTF比赛是一个可以倏地积聚安全知识的方式,当然也能够是一个信息保险从业从入门到放弃的路...

3月30日,首个面向寰球白帽和技巧精英开放的、专注于漏洞响应和防护的全球性安全行业大会??补天白帽大会在深圳举办,长亭科技安全研究人员Phithon发表演讲时表现,“CTF比赛是一个可以倏地积聚安全知识的方式,当然也能够是一个信息保险从业从入门到放弃的路,要想赢得CTF比赛的成功,没有银弹、没有捷径,只有多加训练。”

 

长亭科技平安研究职员 Phithon发表议题

Phithon介绍到,PHP弱类型这种题目涌现在CTF比赛中的概率里非常高。第一个最原始的就是进行strcmp字符串比较,这样的题目在实际中并不多。第二类是字符串比较进级版,这个题目标中心意思是你能不能找到一个字符串两个参数相等,然后他们的原值不相等的变量。第三类是在实战中是时常遇到的,用户传入了他的用户名,WAF在数据库里将用户密码查问出来,然后进行密码比较,假如比较相等,他就登录胜利。

第二个题目是藏源码的一百种方式,藏源码是CTF竞赛的必备技能,我们要研究出题人为什么出这些题目,Phithon提到,首先这个标题的考点是代码审计,二是获取源码的过程也是考点之一,这时候出题人往往会把源码给出来。三比较艰苦的一类,有时候通过黑盒是没法把这个破绽挖掘出来的,他很可能就会给你源码,好比直接嵌在HTML注释中或者直接给一个文件读取漏洞,现金赌博网站,这是简略粗鲁的源码泄露题目。

Phithon对哪些处所可以藏源码进行了总结,首先是代码包,二是版本掌握文件,三是一些开发环境遗留比方Mac文件治理器,四是文件读取漏洞,五是简单逆向,六是数据包剖析。

第三个题目有关WAF,这与找源码是一样的问题,我们在实际工作中遇到WAF确切许多,你可以看到WAF里有很多信息,最后发现字符串里面有一个调换空型的WAF,另外一个是字符串替代空型WAF增强版,就是循环替换法。

Phithon强调,应对这类题目最重要的是心态,不要对WAF发生害怕心理,因为在CTF比赛中WAF老是可以绕过的。另外,要想打好一场CTF比赛,技巧是最重要的,同时还要积累一定的基本知识,还要试着去懂得出题人的想法,琢磨这个题目的用意是什么。

(完)
责任编辑:黔龙网

最新内容

上海北外滩41亿元挂牌商办地 要求100%

近日,上海虹口HK314-05商办地块挂牌,起拍总价为41.14亿,折合起拍楼板价3.6万元/?,拍卖日期为6月14日。 资料显示,该宗地块位于周家嘴路新建路路口东南角,坐...

中梁江苏常州再落子 11.4亿元摘获金坛

5月13日,中梁地产以总价11.4亿元摘获江苏常州市金坛区华阳路西、金桂路南侧地块。 据观点地产新媒体查问,该地块编号2017-07-02,地块占地约8.87万平方米,容积...

中南建设4.94亿元拿下嘉兴平湖2宗商住

5月15日,中南建设发布公告称,该公司通过挂牌方式竞得嘉兴平湖市2宗商住地,总代价约4.94亿元,总出让面积22.6万平方米。 公告显示,2017-6号地块位于乍浦镇外...

龙头房企频现百亿元级交易并购、融资忙

进入5月中旬,沉静许久的房地产行业再现多笔百亿级交易。 5月12日晚,融创中国发布公告称,公司间接全资附属天津融创作为买方,拟向昆明星耀收购天津星耀80%股权...

大家热点

LeadTools助某医院搭建Pacs医学影像信

PACS (Picture Archiving and Comuniations Systems)即医学影像存储与传输系统,是应用于医院中管理医疗设备如CT,MR等发生的医学图像的信息系统。在信息化高...

随机阅读

LeadTools助某医院搭建Pacs医学影像信

PACS (Picture Archiving and Comuniations Systems)即医学影像存储与传输系统,是应用于医院中管理医疗设备如CT,MR等发生的医学图像的信息系统。在信息化高...