跳转到内容

夺旗 (网路安全)

本页使用了标题或全文手工转换
维基百科,自由的百科全书
一支于DEF CON 17,正参与夺旗比赛的队伍

夺旗(英语:Capture the flag,简称“CTF”)在计算机安全中是一种活动,当中会将“旗子”秘密地埋藏于有目的的易受攻击的程式或网站。参赛者从其他参赛者(攻/防式夺旗)或主办方(危难式挑战)偷去旗子。[1][2]夺旗活动衍生出数种变体,当中包括于硬体装置内隐藏旗子。相关比赛可透过线上或实体形式进行,亦可分为进阶和入门两种层级。[3]此游戏乃基于同名传统户外运动而设计。

概述

保安夺旗活动的设计旨在以一种教育练习的方式,给予参加者于保护机器的经验,同时对那些在现实世界中发现的攻击进行处理并作出反应(即专业环境中的漏洞奖励计画英语Bug bounty program)。著名的攻/防式夺旗包括通常被视为竞赛圈(competition circuit)“决赛”、自1996年起,[4]于最大型黑客会议期间举办的DEF CON,以及最大型的学生网路安全比赛NYU-CSAW(网路安全关注周)。[5][6][7][8]

典型夺旗活动包括逆向工程数据包嗅探协定分析、系统管理、编程密码分析,以及编写漏洞利用等等。[9]在攻/防式比赛中,每支队伍获分配一台用以防守的机器(或一个小型网路)——一般位于一个独立的比赛网路之上。队伍会按成功防御己方的机器,以及成功攻破其他队伍的机器而获得分数。[10]典型夺旗的一个变体,是于敌方机器上“植下”己方的旗子。

硬体挑战(hardware challenge)通常涉及获得一枚未知的硬体,并需找出如何绕过部份安全措施,例如使用除错端子或采取一种旁路攻击[来源请求]危难式挑战与算法竞赛颇为相似:队伍之间并非互相攻击,而是解决由主办方所公布的挑战。一般而言,时间并非赢取这类比赛的一项要素,但“第一滴血”额外分数通常会给予最快解决挑战的队伍。[来源请求]山之王式英语King of the Hill (game)挑战中,玩家透过相对排名(relative ranking)获取积分。典型而言,只有排名第一的队伍才能得分。当另一队伍击破目前的冠军队伍(例如,透过获得冠军队伍所防守的共享“目标”机器),则他们成为新的冠军,并转为捍卫己方的排名,与其他队伍作对抗。[来源请求]

参见

参考资料

  1. ^ Dubey, Siddhant. An Introduction to Cybersecurity, Capture the Flag Contests, and Basic Security Concepts. Medium. 2019-12-01 [2020-05-21]. (原始内容存档于2020-05-21) (英语). 
  2. ^ Švábenský, Valdemar; Čeleda, Pavel; Vykopal, Jan; Brišáková, Silvia. Cybersecurity knowledge and skills taught in capture the flag challenges. Computers & Security. March 2021, 102 (102154): 102154 [2022-09-12]. S2CID 230523819. arXiv:2101.01421可免费查阅. doi:10.1016/j.cose.2020.102154. (原始内容存档于2022-01-21). 
  3. ^ What is a Cybersecurity Capture the Flag? – StartaCyberCareer.com. [2021-11-09]. (原始内容存档于2022-08-16) (英语). 
  4. ^ DEF CON® Hacking Conference - CTF History. www.defcon.org. [2020-06-23]. (原始内容存档于2021-01-04) (英语). 
  5. ^ CSAW CTF Qual 2014 – csaw2013reversing2.exe Writeup. infamoussyn.com. 2014-09-22 [2018-04-01]. (原始内容存档于2017-07-06) (英语). 
  6. ^ Kathleen, Hamilton. World’s biggest student cyber security contests reveal best young hackers and researchers (PDF). usf.edu (Press release). 2014-11-17. (原始内容存档 (PDF)于2022-01-11) (美国英语). 
  7. ^ Cyber Security Awareness Week :: About. csaw.engineering.nyu.edu. [2018-04-01]. (原始内容存档于2018-01-26) (美国英语). 
  8. ^ Polytechnic Institute of New York University. NYU-Poly Cyber Security Awareness Week Announces Winners of World's Biggest Student Contests (新闻稿). PR Newswire. [2018-04-01]. (原始内容存档于2015-03-16). 
  9. ^ CTF Hacking: What is Capture the Flag for a Newbie?. cybersecurity.att.com. [2021-11-09]. (原始内容存档于2022-07-01) (英语). 
  10. ^ Introduction To 'Capture The Flags' in CyberSecurity - MeuSec. 2020-06-10 [2021-11-09]. (原始内容存档于2022-08-13) (英语).