CTF信息安全競賽實戰(zhàn)演練培訓

【時間地點】	2021年9月13-18日北京（18日學員交流與返程）
【培訓講師】	多名講師
【參加對象】	不限
【參加費用】	￥9800元/人（含培訓費、培訓期間午餐、證書費等），食宿可統(tǒng)一安排，費用自理。
【會務組織】	森濤培訓網(wǎng)（wwwb1393.com）．廣州三策企業(yè)管理咨詢有限公司
【咨詢電話】	020-34071250；020-34071978（提前報名可享受更多優(yōu)惠）
【聯(lián) 系人】	龐先生，鄧小姐；13378458028、18924110388（均可加微信）
【在線 QQ 】	568499978	課綱下載
【溫馨提示】	本課程可引進到企業(yè)內部培訓，歡迎來電預約！

培訓關鍵詞：信息安全培訓

CTF信息安全競賽實戰(zhàn)演練培訓(多名講師)課程介紹：

培訓背景
    CTF（Capture The Flag，奪旗賽）是一種流行于網(wǎng)絡安全技術人員之間的一種信息安全技術競賽。其前身是傳統(tǒng)黑客之間網(wǎng)絡技術比拼的游戲，以代替之前黑客們通過互相發(fā)起真實攻擊進行技術比拼的方式。起源于1996年第四屆DEFCON。現(xiàn)在已成為全球范圍網(wǎng)絡安全圈流行的競賽形式。
    通常CTF分為三種賽制：解題賽（Jeopardy）、攻防賽（Attack-Defence）和混合賽。
    競賽模式基本分為解題模式、攻防模式和混合模式。大多題目的內容基本包括web安全，密碼學、逆向、二進制安全編程類題目等國內外有很多CTF比賽。
    解題賽是線上賽通常采取的賽制，題目通常分為多個類型，如Web，F(xiàn)orensic（取證），Crypto（密碼學），Binary（二進制）等。團隊或個人可以通過解題獲得一串具有一定格式的字符串，也就是flag。將flag提交到競賽平臺可以獲得積分。題目的難度越大，分值就越高。當比賽結束后，得分最高者勝出。
    攻防賽是另一種有趣的賽制，常見于線下決賽。攻防賽中，每個隊伍都會被分配一臺主機或虛擬機，稱為gamebox，隊員可以通過網(wǎng)絡連接到gamebox。而所有隊伍的gamebox通過內網(wǎng)連接在一起。每個隊伍的gamebox上都運行著多個相同的服務。參賽隊伍需要挖掘服務的漏洞，然后攻擊其他隊伍的服務來獲取flag，并提交給計分服務器來獲取積分。與此同時，參賽隊伍還需要修補自身服務中的漏洞來防止丟分。攻防賽不僅考驗了參賽選手的技術水平，還考驗了參賽者的體力，因為通常參賽者需要連續(xù)混合賽可能采取解題賽和攻防賽的混合模式，也可能是其他形式。

培訓介紹
本次CTF競賽培訓包括培訓和考核兩部分，5天集中培訓和2天考核。

日程安排

序號	項目	內容
1	CTF入門	CTF概念和入門國內外安全攻防比賽現(xiàn)狀攻防比賽方式和題型介紹安全培訓基礎環(huán)境介紹和配置搭建實訓期間所需工具包和資料分發(fā) 操作系統(tǒng)命令和數(shù)據(jù)庫基礎 PHP和python程序入門數(shù)據(jù)庫基礎入門和SQL語言簡述網(wǎng)絡安全攻防滲透基礎知識（搜集、定點、攻擊等） Linux安全基礎（基本命令、系統(tǒng)管理、反彈shell等） Windows安全基礎（DOS/PS基本命令、用戶權限、AD、網(wǎng)絡協(xié)議等）
2	數(shù)據(jù)隱寫	數(shù)據(jù)隱寫基礎和工具分發(fā) 隱寫比賽模式和題型分析隱寫專項練習：圖片隱寫、視頻隱寫、音頻隱寫、網(wǎng)絡協(xié)議隱藏、pdf隱寫、壓縮文件隱寫等
2	MISC雜項	常見MISC雜項題目分析網(wǎng)絡流量協(xié)議分析基礎 Wireshark工具實操系統(tǒng)日志分析思路社會工程學概念其他技術點探討
3	密碼編碼	常見比賽密碼學題型分析密碼編碼工具介紹和分發(fā) 密碼學理論基礎（凱撒、柵欄、莫斯等）古典密碼學題型分析編碼解碼基礎入門常見編碼解碼題型分析
	密碼學進階	現(xiàn)代密碼學入門算法加解密原理題型分析和關鍵代碼學習其他算法介紹
	綜合訓練	隱寫技術復習密碼學復習題目答疑解惑雜項題目實操
4	WEB基礎	Web漏洞基礎和工具介紹 WEB爆破和burp實操任意文件下載和信息泄露文件上傳和文件解析漏洞分析 XSS跨站攻擊（反射、存儲、DOM）靶場實操命令執(zhí)行原理和OS命令強化代碼執(zhí)行和PHP代碼強化 XXE原理分析和賽題解析
	SQLI提高	SQL注入基礎（原理、工具、SQLMAP等） SQL注入進階（報錯、盲注、聯(lián)合、寬字節(jié)、二階注入、二次編碼等注入）
	WEB強化	PHP反序列化題型分析 SSRF原理和題型分析弱類型技術原理變量覆蓋和條件競爭文件包含強化（偽協(xié)議、結合上傳、結合XSS等） SSTI模板注入分析（flask等框架介紹）
	代碼審計	python安全編程與代碼審計 PHP安全編程與代碼審計 Java、JSP安全編程與代碼審計代碼審計工具和真題分析
	實操練習	典型題目實操練習和指導
5	逆向工程	逆向工程入門匯編語言基礎和關鍵語句詳解 PE格式介紹和X86/X64平臺原理靜態(tài)分析和動態(tài)調試工具介紹代碼和數(shù)據(jù)結構分析逆向題目技術點分析和題型介紹 Android基礎和逆向題型逆向題目實操和技能強化【PWN入門和題型概述】（酌情）
6	CTF模擬訓練	個人奪旗戰(zhàn)和AWD攻防混戰(zhàn)（0.5天）
6	CTF解題賽	（提供賽題和比賽平臺，1.5天）
18日	學員交流與返程

授課專家

趙老師 從事信息安全技術研究和管理工作十余年多，擅長網(wǎng)絡攻防、滲透測試、漏洞挖掘、應用安全、逆向分析、木馬病毒、主機數(shù)據(jù)庫安全測試加固、安全編程，積累了豐富的管理顧問實戰(zhàn)經(jīng)驗，精通網(wǎng)絡安全架構及安全評估、精通WEB滲透及防御技術。曾參與國內多家網(wǎng)絡安全競賽攻防項目。

郭老師 取得認證：安全 CCIE，SP CCIE，UC 統(tǒng)一通信 CCIE，CCSI，CCDP，MCSE，CISP-PTE，CISSP、CISP等，專業(yè)技能：計算機語言：Python、C++、匯編、PHP；了解基本二進制漏洞，熟悉Web攻防，熟練掌握各類Web漏洞的成因/利用方式/危害性/繞過思路，以及正確修復方法；有豐富的滲透測試經(jīng)驗，熟練掌握metasploit等攻擊框架，以及內網(wǎng)滲透、系統(tǒng)漏洞利用、權限提升、服務器加固等相關技術；深入了解 TCP/IP 理論和 ISO 網(wǎng)絡模型，具備深厚、全面的路由交換技術以及 VOIP、Wireless LAN、網(wǎng)管技術；有若干大型 IP 網(wǎng)絡建設工程的設計及項目實施經(jīng)驗；熟悉主流的信息安全產(chǎn)品及解決方案；熟練掌握網(wǎng)絡數(shù)通產(chǎn)品調試、故障排除、軟件系統(tǒng)升級等技術（思科/微軟/Juniper/綠盟/華為/H3C 等）。熟悉 Frame Relay，ATM，SDH，光傳輸，CA server，AAA server， CallManager server，CiscoWorks，SSL VPN， IPSec VPN，MPLS VPN，等常用網(wǎng)絡的安裝調試及故障檢測；深入掌握信息安全相關知識及技術技能經(jīng)驗要求；能熟練使用各主流網(wǎng)絡安全廠商的安全設備（綠盟 IPS,IDS,WAF；思科及山石防火墻,網(wǎng)康上網(wǎng)行為管理，科來網(wǎng)絡行為回溯分析平臺，堡壘機，VPN 網(wǎng)關，廣州天懋非法違規(guī)外聯(lián)平臺，主流態(tài)勢感知平臺，反垃圾郵件系統(tǒng)……）具有 IT 管理流程創(chuàng)立及規(guī)范化經(jīng)驗，具備 ITIL 管理模式的相關經(jīng)驗；具 10 年以上大型信息系統(tǒng)維護和技術管理工作經(jīng)驗。

高老師 曾任北京頂牛，安全部，滲透測試組組長，中國金融認證中心，信息安全服務部，信息安全工程師，獲得銀聯(lián)系統(tǒng)CTF線下賽-三等獎，主要項目經(jīng)歷包括Web滲透、APP安全測試(android)、微信小程序、API接口、CTF、逆向、后滲透及持久化方面，知識面比較廣。只列主要舉項目名稱，對具體漏洞無法列舉；由于某些項目的特殊性，只能大概描述下項目/任務名稱：中國聯(lián)通滲透測試項目，中國石化滲透測試項目，中遠集團滲透測試項目，南方電網(wǎng)滲透測試項目，南方航空滲透測試項目，委內瑞拉國際培訓項目，某部隊CTF賽前培訓，第二屆強網(wǎng)杯CTF挑戰(zhàn)賽（線上三等獎，線下三等獎），網(wǎng)信辦滲透測試任務，無人機takeover項目，聯(lián)通支付平臺滲透測試項目等。

課綱下載

CTF信息安全競賽實戰(zhàn)演練培訓

CTF信息安全競賽實戰(zhàn)演練培訓(多名講師)課程介紹：

更多CTF信息安全競賽實戰(zhàn)演練培訓相關課程：