揭秘：网络安全新手如何通过PicoCTF平台快速升级？

TimelineSec · 公众号 · · 2024-04-04 14:37

正文

文末赠书

正在学习网络安全的同学们，你们都参加过 CTF （Capture The Flag）比赛吗？

CTF 比赛是网络安全领域的一项引人瞩目的活动，吸引着无数热爱挑战和技术的玩家们投身其中。可能有的同学会有疑问，初学网络安全就参加 CTF 比赛是不是太难了？

这种顾虑是有道理的，因为网络安全领域涵盖了诸多专业技术领域，如密码学、漏洞利用、逆向工程等，这些都是 CTF 比赛的重要组成部分。初学者往往面临着 技术门槛高、知识广、难度大的挑战 。

不过现在不用担心了， 《CTF快速上手：PicoCTF真题解析（Web篇）》 这本书可以帮助初学者踏进 CTF 的门槛。本书针对 Web 安全领域展开深入讨论，帮助读者快速掌握 Web 安全技术，从而挑战 CTF 比赛。

▼ 点击下方，即可购书

本书选择 PicoCTF 作为学习平台，围绕 PicoCTF 比赛的历年真题来讲解 Web 安全的主要知识点。初学者可以从 PicoCTF 比赛中轻松起步，直至走向更具难度的 DEFCON CTF、Google CTF、PlaidCTF 等比赛。

让我们一起挑战技术的极限，就从 PicoCTF 开始探索网络安全的无限可能！

Part.1

PicoCTF：最适合小白的入门学习平台

PicoCTF 是由卡耐基梅隆大学编程实验室创建的在线 CTF 比赛平台，旨在 帮助人们学习和提高网络安全技能 。自从 2013 年推出以来，该项赛事已经吸引了全球数以万计的参与者，包括学生、专业人士以及网络安全技术爱好者。

PicoCTF 比赛题目涵盖基础密码学、逆向工程、渗透测试、网络安全、Web 安全等诸多领域。本书专注于 Web 安全内容，读者将会学习如何应对各种常见的漏洞和攻击场景，如 SQL 注入、跨站脚本攻击（XSS）等。

PicoCTF 平台的设计 非常贴近初学者 ，提供了清晰的指导和友好的用户界面，使得即使没有网络安全经验的小白也能够轻松上手。挑战难度设置从简单到复杂，循序渐进，让参与者能够逐渐提升自己的技能水平。

PicoCTF 比赛的主要目标是教育和学习，而不仅仅是比赛和竞争。它提供了丰富的学习资源、解释和提示，帮助参与者理解和掌握安全知识和技能。

本书作者 李华峰 看到许多网络安全初学者没有对 CTF 比赛形成明确的认识，一上来就想挑战高难度的 CTF 赛事，结果铩羽而归，打击了学习兴趣。所以他将 PicoCTF 介绍给初学者，通过由易到难的学习过程建立信心，帮助他们逐步成长为网络安全专业技术人才。

李华峰是信息安全顾问和自由撰稿人，多年来一直从事网络安全渗透测试方面的研究工作。在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的实践经验。

他还编写出版多部网络安全技术专著，包括《Metasploit Web渗透测试实战》《Python渗透测试实战》《Kali Linux2 网络渗透测试实践指南第2版》等。

我们就从 PicoCTF 比赛的 Web 安全解题 入手，开启网络安全学习之旅。

Part.2

Web安全解题宝典

Web 安全是指保护网站，以及 Web 应用程序免受恶意攻击和未经授权访问的技术。书中首先讲解了一些辅助工具的使用方法，还对前端技术、HTTP 知识、SQL 注入、跨域认证等主题逐一介绍。

Web 类题目的解题工具

书中讲解了 Web 应用程序的工作流程和浏览器的工作原理，说明了 Curl、Burp Suite、CyberChef 等工具的使用方法，还介绍了 AI 问答工具和 AI 编程工具的使用，这些内容可以高效地帮助答题者避开知识盲区，提高解题效率。

Web 前端开发知识

书中讲解了 HTML 标签语言的特点和语法，还提供了一个简单的 HTML 代码示例，并介绍如何使用 AI 工具编写程序来答题。接着说明了 CSS 的特点和语法。对 HTML 与 CSS 在 PicoCTF 比赛中的出题侧重点，以真题为例进行讲解。

JavaScript 语言 是重点内容，书中首先介绍其发展历程和使用基础、WebAssembly 的使用基础及工作原理，以及常用的 Base64 编码。接着通过实例讲解了如何使用 AI 构建程序，在 HTML、CSS 和 JavaScript 文件中查找 Flag。

HTTP 与 Web 服务知识

书中介绍了 HTTP 的发展历程和消息结构，通过 PicoCTF 比赛的 3 道真题详细介绍了 Burp Suite 的使用方法。

随后讲解了 Cookie 技术，包括 Cookie 的组成部分、查看方式，以及Cookie 在 CTF 比赛中的常见知识点。说明了答题者在 CTF 比赛中所需要的基本技能，并分析了 Cookie 相关的历年真题。

接着介绍了 Web 服务器目录的结构、URL 中的相对路径与绝对路径，以及 robots 的工作原理与格式。

Web 数据库 SQL 注入

这部分介绍了 SQL 注入漏洞的原理、分类、防范措施，分析了与 SQL 注入相关的其他题目。讲解了两个系列 SQL 注入漏洞方面的 6 道 PicoCTF 真题。同时对 SQLite 和 PostgreSQL 数据库进行了介绍。

正则表达式与跨域认证

这部分介绍了正则表达式的基本理论与实际应用，通过 PicoCTF 真题“MatchTheRegex”展示了正则表达式解决实际问题的过程。接着对以 JWT 为代表的跨域认证进行介绍，通过 3 道真题说明 Web 应用中可能存在的一些认证缺陷。