1樓:梅子酒m3i
感覺這個問題可以分成兩個部分來回答:
CTF能不能弄出來0day(CVE)
CTF是否都是使用已知的安全問題出題
挨個來回答。
在學習CTF的過程中,能不能搞出來0day(CVE)這個問題,答案是可以的。
以Web方向的審計而言,提高原始碼審計能力最快的方式,就是直接上手框架進行分析,在分析的過程中,隨著個人能力和投入時間的雙重提公升,挖掘到0day(CVE)基本是一件確定的事情,除非是選擇的難度與個人實際水平差距過大。
CTF嚴格來說是出題人把自己認為好玩的攻擊方法抽象成題目,至於這個攻擊方法是否已公開則不一定。
在高規格的比賽中,出題人可能會出於質量、口碑等因素將自己挖掘到的0day(或新的攻擊方式)整理成題目,這和問題中的「未知的安全問題出題」就是對應的了。
比如N1CTF2019中,我和同為Nu1L隊友的orich1師傅一起出的Jenkins XStream RCE就是將乙個利用細節暫時未公開的漏洞抽出來設計成了乙個CTF題目(該漏洞原作者是orich1師傅)。
往前一點的另乙個例子便是WCTF中Gyotaku The Flag這個題目,它用了一種新的攻擊方式,詳細內容見我部落格:https://
meizjm3i.github.io/2019
所以,實名反對CTF和0day不沾邊的言論 : )
PS:如果想試一試0day與CTF結合的感覺,可以看一看即將到來的RealWorld CTF 2019,或者期待N1CTF 2020~
能不能把你們最好的文案分享出來大佬們!!!!!?
場控 我的文案有很多,但是論最好的文案 應該是這一句 春絮夏箬秋韻冬旎 皆是我形容你的詞語 是什麼意思呢?春天的紛飛柳絮 夏天的漫山青箬 秋天的楓葉飛韻 冬天的白雪旖旎 皆是我形容你的話語 你是我的春夏秋冬 也是我的人間煙火 更是我的風花雪月 我浪漫一生許若與你許若雲霓這是我寫給乙個女生的文案,她的...
想知道寫字好看的大佬們都是怎麼練出來的?
林月間之之 我練字之前是這樣的 本人不愛說話,沒有什麼朋友,也很孤僻自卑,最重要的話,這樣的人通常會沉迷遊戲,我也不例外,但是有一次跟我同學玩cf單挑槍戰。這貨竟然不用槍,只用刀,幹了我10 0從此我受到奇恥大辱,發誓永遠不玩遊戲,後面沒什麼事情幹,就這些當年qq空間的那些非主流語言,什麼如果愛,請...
大佬們,膝上型電腦能公升級嗎?
幽泉ba主 這樣說吧,這電腦公升級一下配置是能繼續服役,但是絕對效能上的提公升不可能和現在主流的電腦相提並論。我看到有提到將CPU公升級到T9900,這應該是能夠公升級的最高型號了,那些膠水4核這主機板應該不能支援了。但是即便是這個頂配的T9900處理器,其實際效能還不如現在入門級的8250U 當然...