講者介紹
- 陽交資工大三 Sean 韋詠祥
你們可能看過…
或是看到這篇…
現任經歷
- SITCON 2022 議程組長
- 系計中 Net 組、Web 組助教
- 資訊之芽 Python 講師
- 行政院 技服中心 網路攻擊手
什麼是資安?
- 電腦沒鎖被發文
- 亂插隨身碟中勒索病毒
- 攔截流量、破解密碼
- 找到程式漏洞
資安競賽類型概覽
- Bug Bounty 賞金獵人
- Capture the Flag (CTF)
Capture the Flag (CTF) 又分為…
- Attack and Defense 攻防賽
- King of the Hill 爭霸戰
- Jeopardy 解謎賽
Attack and Defense (A&D)
- 主辦單位提供機器/服務
- 自行研究漏洞
- 幫服務上 patch(補丁)
HITCON DEFENSE
King of the Hill (KoH)
- 主辦單位提供幾個服務
- 看誰程式最短、撐得久、速度快、最接近完美
- 通常沒有標準解
KoH 題目舉例
- 用最少步數解出 Wordle
- 執行任何指令,讓自己程式存活最久
- 植入後門,讓首頁出現自家隊伍名稱
Jeopardy
- 大家解同一套題組
- 通常各題分數與難度相關
- 最常見的競賽類型
- 找到長得像
FLAG{printable}的字串
Jeopardy 常見形式 - CTFd
Jeopardy 基本分類
- Web 網頁安全
- Crypto 密碼學
- Reverse 逆向工程
- Binary 執行檔滲透
- Forensic 數位鑑識
- Misc 其他雜類
Web 網頁安全
- 通常會是一個有資安漏洞的網站
- Flag 可能藏在原始碼、設定檔、資料庫等
- 先備知識:了解常見開發問題
Crypto 密碼學
- 通常會給加密用腳本、密文
- 自己找出實作瑕疵、可逆函式
- 先備知識:比較吃數學基礎
Reverse 逆向工程
- 給一個執行檔,回推原始碼
- 先備知識:看得懂組合語言、熟悉各語言特性
Binary 執行檔滲透
- 看懂程式碼後,找出漏洞並破解
- 通常需要 RCE 執行特定程式碼
- 先備知識:Reverse、系統架構
Forensic 數位鑑識
- 提供數位檔案,從蛛絲馬跡找出答案
- 例如被駭侵的電腦映像檔
- 先備知識:工具使用、系統架構
Misc 其他雜類
- 所有天馬行空、無法被歸類的題目
- 先備知識:通靈
Web 經典漏洞
終於要進入 Demo 環節了
View Source Code (F12)
- 最基本的題目
- 請各位打開題目頁面
https://ctf.sean.cat/
XSS
- 未過濾使用者輸入
- 通常以
<script>alert(1);</script>驗證
Path Traversal
- 忘記限制存取權限
- 常見
../%2e%2e/.%2e/etc/passwd字樣
Broken Access Control
- 只在登入頁面驗證身份
- 看一下原始碼
Command Injection
- 未過濾使用者輸入
- 通常會用
id看身份、ls及cat看檔案
下課休息
線上提問:https://sli.do/Sean
Crypto 經典玩法
Caesar Cipher 凱薩密碼
- 以前以為很安全,但現在全世界都知道了
Ecoji
- 用 Emoji 做編碼
Forensic 經典玩法
Memory Dump 記憶體傾印
- 模擬鑑識中毒的電腦
- 需要特定工具處理、了解程式記憶體架構
Steganography 隱寫術
- 在圖片、音訊、影片中隱藏資料
- 需要知道用哪種技術、金鑰
Misc 經典題型
QR code 修復
學習資源
PicoCTF
- 初學入門題目合集
https://play.picoctf.org/
CTFtime
- 每週都有大大小小的比賽
https://ctftime.org/
Q&A
Link: https://sli.do/Sean
參考資料 / 延伸閱讀
- CTF 的三十道陰影 - dada, iThome 鐵人賽
- 關於 CTF 的那些事 - LYS, SITCON 2022
- Got Your PW - 專供資安人的資源與工具整理
Security Intro 資安入門 投影片連結: https://hackmd.io/@Sean64/sec-cksh2022 時間分配 14:15 自我介紹 5 min 14:20 資安簡介 10 min 14:30 CTF 分類 10 min 14:40 F12 5 min 14:45 XSS 10 min 14:40 14:55 BAC 5 min 15:00 15:00 cmdi 10 min 15:25 15:10 下課 10 min 15:20 Q&A 5 min 15:25 Crypto 5 min 15:30 Forensic 10 min 15:40 學習資源 15 min 15:55 Q&A 10 min 16:05 結束
{"metaMigratedAt":"2023-06-16T23:22:16.864Z","metaMigratedFrom":"YAML","title":"Security Intro 資安入門 - 建功軟研 2022","breaks":true,"description":"Sean 韋詠祥 / 2022-04-21 14:00 / 什麼是資安 / Jeopardy 基本分類 / Web 網頁安全、Crypto 密碼學、Reverse 逆向工程、Binary 執行檔滲透、Forensic 數位鑑識、Misc 其他雜類 / 學習資源","contributors":"[{\"id\":\"8a6148ae-d280-4bfd-a5d9-250c22d4675c\",\"add\":5285,\"del\":1049}]"}