網頁安全的學習之路(Web CTF)

## 網頁安全的學習之路(Web CTF) 作者: [台中教育大學白帽社](https://hackmd.io/@ntcuhack/index) -sunfrancis12 ## 前言先說明我並非是什麼大神，實力普普通通，還請大家見諒接觸CTF有一段時間了，自己在學習的過程中也走過不少歪路，想趁這個機會整理一個讓新手可以增進自己實力的一些方向以下是我建議的學習之路，大家可以按照以下進度來增強自己的實力(WebCTF) ## 完全零基礎 ### 社課和簡報 **web baby:** 我們社團自己的社課簡報，裡面學到的比較像是網際網路的基本知識和讓大家對ctf是什麼有一個概念，跟正常的ctf有滿大的差異 * 講義: * https://www.canva.com/design/DAFtw4snoVM/5rhQOAVvR-V4NCjk42VDxg/edit?utm_content=DAFtw4snoVM&utm_campaign=designshare&utm_medium=link2&utm_source=sharebutton * lab: * https://ctfd.rukiren.com/ **web 初階(成大資安網頁安全社課):** 給新手的web大補帖，可以迅速的補充關於要打ctf所需要的觀念和背景知識，裡面也有許多lab可以實作 * 社課影片: * https://www.youtube.com/watch?v=N60VGmhfhy0&t=1s&ab_channel=NCKUCTF * https://www.youtube.com/watch?v=PqydmB-IoYc&ab_channel=NCKUCTF * https://www.youtube.com/watch?v=xjnAnrfApJo&t=7550s&ab_channel=NCKUCTF * lab: * https://class.nckuctf.org/ ### ctfd平台: **攻防世界:** * 攻防世界是大陸的平台，個人覺得題目的分級和整理上比picoctf上來得更好，建議大家可以做1,2級的題目。 * https://adworld.xctf.org.cn/challenges/list **picoctf:** * 每個人都會推薦的ctf網站，題目數量充足但是有些題目設計上會比較不良，有時候會踩雷，可以依照解題人數來判斷難易度，先從簡單的開始解 * https://play.picoctf.org/ **hackmeCTF:** * web題目大部分都不錯，可以先從50分的試試看，或依照解題人數來判段難易度 * https://ctf.hackme.quest/scoreboard/ ## 入門時期此階段就是大量練習，個人會把入門時期定義: * 下限:會解常見知名ctf的welcome, easy題 * 上限:可以解AIS3 pre-exam的題目(medium) ### 社課和簡報 **WebCTF入門(交大竹狐社的網頁安全教學):** 個人十分推薦(包含lab和講義)，裡面的lab十分貼近ctf中會遇到的題目，想打ctf千萬不要錯過 * 社課影片: * https://www.youtube.com/live/k65sfrMExgE?si=FHIYHRKg2jhWMsrH * https://www.youtube.com/live/IPvf0Ha1vAk?si=iTvCBNoRKNO5zJ-U * 講義: * https://bamboofox.cs.nycu.edu.tw/courses/16/materials/76 * lab: * https://bamboofox.cs.nycu.edu.tw/courses/16/challenges ### ctf平台: 攻防世界: * 會建議大家做等級3的題目，但是有些題目難度明顯過高 * https://adworld.xctf.org.cn/challenges/list hackmectf: * https://ctf.hackme.quest/scoreboard/ Lotuxctf: * https://lotuxctf.com/challenges NCKUCTF: * 可以挑戰做AIS3 pre-exam的考古題 * https://class.nckuctf.org/challenges PicoCTF: * https://play.picoctf.org/ ## 進階時期基本上上述的題目練完後就已經具備很足夠的基礎了，也具備進入AIS3夏令營的實力，此階段後可以開始挑戰CTF中hard的題目，向AIS3 EOF進發要繼續增進自己的實力會需要透過在ctftime上面參加線上的ctf，我個人是抓AIS3 pre-exam的難度大概是rating 30-40左右 ### 講義 **Spiltline的Web Hacking** 想深入學習更多關於網頁安全的知識和概念的話可以看看，內容滿硬的，會建議看完以上內容後看這幾部 * https://www.youtube.com/watch?v=a5vrGYsKc_A&ab_channel=VulnerableNeko * https://www.youtube.com/watch?v=hWC-Evt-sBc&ab_channel=VulnerableNeko * https://www.youtube.com/watch?v=73uI7BK8k3g&ab_channel=VulnerableNeko ### ctf平台: ctftime: * https://ctftime.org/event/list/upcoming xss game: * 裡面集合著許多xss的題目 * https://xss.pwnfunction.com/ ## 其他資源 [TW-Security-and-CTF-Resource](https://github.com/Ice1187/TW-Security-and-CTF-Resource) 以下的網頁安全是偏向現實上會用到的網頁安全(網管)，跟CTF有些差異 [[資安入門] 001 Web Security 領航之路-資安入門手冊-如何入門網站安全 -feifei](https://feifei.tw/security-getting-started/) [[資安漫談] 資安小白之網路安全入門 -HackerCat](https://hackercat.org/cybertalk/network-security-study-plan)