web介绍
|
CTF-web
|
113

1517 字
|
6 分钟
本文最后更新于26 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com

🌐 CTF Web方向入门指南

专注于Web应用安全,开启你的白帽黑客之旅

1. Web方向是什么?

💻 核心概念

  • 定位:网络安全竞赛中与网站、Web应用安全相关的题目方向
  • 特点:最贴近实际应用、入门相对友好、就业前景广阔
  • 你的角色:扮演"白帽子"黑客,发现并利用Web漏洞获取Flag

🎯 为什么选择Web方向?

  • 实践性强:技能可直接应用于真实世界安全测试
  • 资源丰富:大量学习资料、靶场和工具
  • 成就感高:能够快速看到攻击效果

2. Web题目的核心:漏洞

Web题目的本质,就是出题人故意在网站中留下了安全漏洞,等待你去发现和利用。

🎯 常见漏洞类型(我们的"技能树")

入门必会(第一阶段目标)

  1. 信息泄露

    • 概念:网站意外暴露了敏感信息,如备份文件、源码、配置文件、目录列表等
    • 感觉:像侦探一样,不放过任何蛛丝马迹

  2. SQL注入

    • 概念:通过构造恶意SQL语句,干涉后台数据库查询,从而窃取、篡改或删除数据
    • 经典场景:登录框、搜索框、商品ID
    • 感觉:与数据库直接"对话",甚至拿到管理员权限

  3. 命令/代码执行

    • 概念:利用漏洞,让网站后端执行我们指定的系统命令或代码
    • 感觉:从Web世界"跳"到了服务器系统,威力巨大

  4. 文件包含

    • 概念:利用网站的动态文件加载功能,去读取系统敏感文件或执行恶意代码
    • 感觉:打开了网站的"任意门"

  5. 文件上传

    • 概念:绕过网站对上传文件的检查,上传一个恶意文件(如Webshell),从而控制服务器
    • 感觉:把自己的"特洛伊木马"送进了城堡

  6. XSS – 跨站脚本攻击

    • 概念:在网页中注入恶意脚本,当其他用户浏览时,脚本会执行
    • CTF中:常用于窃取用户的Cookie或模拟用户操作
    • 感觉:在别人的浏览器里跑自己的代码

  7. SSRF – 服务器端请求伪造

    • 概念:利用漏洞,让网站服务器代替我们去访问其内网或其他系统
    • 感觉:让服务器成为你的"跳板"或"代理"

进阶挑战(后续学习)

  • XXE、反序列化、模板注入、逻辑漏洞等

3. 我们的"武器库"(工具介绍)

工欲善其事,必先利其器。

  • 浏览器 & 开发者工具:你的眼睛和耳朵,用于查看网页源码、网络请求、调试JS
  • Burp SuiteWeb安全神器!用于拦截、修改、重放HTTP请求,是测试漏洞的瑞士军刀
  • SQLMap:自动化SQL注入工具,能帮你快速发现和利用SQL注入漏洞
  • 浏览器插件
    • Hack-Tools:集成了常用Payload和工具
    • Wappalyzer:识别网站使用的技术栈
  • 脚本语言:Python,用于编写自动化脚本或处理复杂逻辑

4. 如何学习?学习路径建议

  1. 打好基础

    • 理解 HTTP协议(请求/响应、方法、状态码、Cookie、Header)
    • 了解前后端基本概念(HTML/CSS/JavaScript, PHP/Python/Java, SQL数据库)

  2. 逐个击破

    • 按照上述漏洞列表,一个一个地学习
    • 学习原理 -> 看懂Payload -> 在靶场动手实践

  3. 疯狂练习

    • 靶场DVWA, bWAPP, SQLi-Labs, Upload-Labs 等。这是你的"新手村"
    • 在线平台:HackTheBox, TryHackMe, CTFlearn,以及各大CTF平台的历年真题

  4. 复盘总结

    • 每做一道题,都要写Writeup,记录解题思路和用到的知识点
    • 加入社群,多看别人的Writeup,学习不同的思路

5. 实战流程(以解题为例)

  1. 信息收集:访问网站,到处点点,用开发者工具和Burp Suite查看所有请求和响应
  2. 寻找入口:找到所有可能与服务器交互的地方(输入框、上传点、URL参数)
  3. 漏洞测试:根据场景,尝试不同的攻击Payload(如SQL注入、XSS等)
  4. 利用攻击:成功利用漏洞,获取信息或权限(如读取数据库、拿到Webshell)
  5. 获取Flag:在数据库、服务器文件、环境变量等处找到Flag
  6. 提交得分

6. 心态与素养

  • 保持好奇与耐心:CTF是解谜游戏,有时需要"脑洞大开"
  • 合法合规只在授权的比赛、靶场和平台上进行测试! 未经授权攻击他人系统是违法行为
  • 乐于分享:与社团伙伴多交流,你会进步得更快
  • 享受过程:解决问题的成就感,是学习路上最好的动力

🎉 开始你的冒险吧!

不要担心自己现在什么都不懂,我们所有人都从这里开始。接下来的培训中,我们会带你一步步拆解上述的每一个漏洞

记住:动手,动手,再动手!

推荐资源:

祝你在CTF的Web世界里玩得开心,成为一名出色的安全研究员!💻🛡️

文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
SWPUCTF 2022 新生赛ez_rce

							
							

							
SWPUCTF 2022 新生赛where_am_i

							
							

							
HNCTF 2022 Week1Interesting_http

							
							

							
NISACTF 2022babyserialize

							
							

							
HCTF 2018Warmup

							
							

							
GDOUCTF 2023受不了一点

							
							

							
SWPUCTF 2022 新生赛ez_ez_php(revenge)

							
							

							
MoeCTF 2022baby_file

							
							

							
GKCTF 2020cve版签到

							
							

							
HNCTF 2022 Week1easy_html