前言
CTF比赛已成为备受全球网络安全界青睐的竞技形式之一,每年都吸引大量热衷于网络安全技术的学员参加。但是,不少初学者并未对CTF比赛形成明确的认识,难以找到适宜的入门途径。本书的目标就是帮助初学者把握CTF比赛的解题技巧,提升自身的网络安全能力。
在CTF比赛中,Web安全主题备受青睐,被视为初学者最佳的入门领域之一。因此,本书将针对Web安全领域展开深入讨论,帮助读者快速掌握Web安全技术。
PicoCTF比赛是全球网络安全界极受欢迎的一门赛事,PicoCTF为初学者提供了良好的学习平台。本书将围绕PicoCTF比赛的历年真题来讲解Web安全的主要知识点。
全书共分11章,内容分别如下。
第1章先简单介绍了PicoCTF赛事及其特点,然后详细介绍了如何注册PicoCTF、如何对题目进行分类、如何解答题目,以及如何使用PicoCTF提供的Linux答题环境。
第2章主要介绍了Web类题目的解题工具,包括Web应用程序的工作流程、浏览器、Curl、Burp Suite、CyberChef、AI问答工具和AI编程工具。尤其是AI问答工具和AI编程工具可以高效地帮助答题者避开知识盲区,提高解题效率。
第3章主要介绍了用于前端开发的HTML标签语言的特点和语法,以及HTML在CTF比赛中的出题点。该章还提供了一个简单的HTML代码示例,并介绍了如何使用AI工具编写程序来答题。
第4章主要介绍了用于前端开发的CSS的特点和语法,并以PicoCTF真题为例讲解了CSS在CTF比赛中的出题侧重点。
第5章主要介绍了用于前端开发的JavaScript的发展历程和使用基础、WebAssembly的使用基础及工作原理,以及常用的Base64编码。本章还通过实例讲解了如何使用AI构建程序,在HTML、CSS和JavaScript文件中查找Flag。最后,该章还介绍了WebAssembly的安全性、工作原理及其与JavaScript的区别。
第6章主要介绍了HTTP的发展历程和消息结构。该章还通过PicoCTF比赛的3道真题详细介绍了Burp Suite的使用方法。
第7章主要介绍了Cookie技术,包括Cookie的组成部分、查看方式,Cookie在CTF比赛中的常见知识点、答题者在CTF比赛中所涉及的基本技能、出题者会如何利用Cookie,以及历年出现的Cookie相关题目等内容。
第8章介绍了Web服务器目录、URL中的相对路径与绝对路径,以及robots的工作原理与格式。
第9章主要介绍了SQL注入漏洞的原理、分类、防范措施及其他一些相关的SQL注入题目。该章讲解了两个系列(共6道)SQL注入漏洞方面的PicoCTF真题,还通过两道PicoCTF真题介绍了SQLite和PostgreSQL。
第10章主要介绍了正则表达式的基本理论及其实际应用。此外,该章还提供了一个PicoCTF真题“MatchTheRegex”,用以展示应用正则表达式解决实际问题的过程。
第11章主要介绍了以JWT为代表的跨域认证。此外,该章还通过3道PicoCTF真题介绍了在Web应用中可能存在的一些认证缺陷。