FAQ

什么是CTF(Capture The Flag)?
CTF夺旗赛是计算机安全竞赛的一种形式,参赛选手往往需要组队参加。flag 指的是一串字符信息,它可能会被放在远程服务器上,也可能会被加密和隐藏在各种不容易访问到的媒介上,参赛选手通过使用逆向、解密、取证分析、渗透利用等技术来拿到 flag。CTF夺旗赛通常有两种形式,解题模式(Jeopardy)和攻防模式(Attack-Defense)。在解题模式的比赛中,主办方会提供一系列不同类型的赛题,比如上线一个有漏洞的服务、提供一段网络流量、给出一个加密后的数据或经过隐写后的文件等,他们将 flag 隐藏在这些赛题中,选手们通过比拼解题来一决高下;在攻防模式比赛中,主办方会事先编写一系列有漏洞的服务,并将它们安装在每个参赛队伍都相同的环境中,参赛队伍一方面需要修补自己服务的漏洞,同时也需要去攻击对手们的服务、拿到对手环境中的 flag 来得分,攻防模式的竞赛往往比解题模式的竞赛更接近真实环境,比赛过程也更加激烈。BCTF资格赛采用解题模式,决赛采用攻防模式。
为什么要举办CTF?
我们痴迷于计算机安全技术,然而计算机安全是一个很难进入的领域,并且那些对它十分感兴趣的人也很难合法地磨练自己的技能。因此,CTF提供一个了途径,让大家通过游戏竞技这种有趣的方式学习计算机攻防的技术,同时也能在比赛中结实志同道合的朋友。CTF参赛者不仅仅是学生队伍,也有来自行业中的专家,当然在竞赛中他们并不会对刚入门的参赛者手下留情。
什么是BCTF?
BCTF“百度杯”全国网络安全技术对抗赛,是由百度公司主办,清华和北大的安全技术专家提供技术支持,紫金江宁、南京赛宁承办,面向全国范围网络安全技术实战竞赛。大赛命题组主要成员来自于拥有丰富国际CTF大赛经验的蓝莲花战队。
BCTF赛题有哪些类型?难度如何?

BCTF赛题涉及面较广,包含但不限于Web渗透、漏洞挖掘与利用、取证分析、隐写术、加密解密、基础编程这几个方面。

BCTF赛题难度差异很大,部分题目非常简单,绝大部分队伍应该都能做出,部分题目则会有一定的难度,但是不会太难。一方面,题目类型各异、设计角度、难度设置差别很大,另一方面,不同题目的考察侧重点不同,有的要求深厚的数学基础功底、有的需要较高的逆向技巧、有的需要对规范和协议有着深刻的理解。大家根据自己的特长和专项,每个人总能找到适合自己的题目。

我们希望这个比赛能真正体现黑客竞技的本质,成为一个真正的技术对抗赛,因此,通用的工具软件一般都无法直接解题,但是只要你理解相关技术的本质,往往只需要稍加变通,就能找到解题的关键思路。

我能参加BCTF吗?如何报名?
能!所有人都能组队报名参加BCTF。你只需要在这个网站注册账号,然后作为队长创建自己的战队并发动小伙伴们加入,或者加入已经创建的战队!
参加BCTF需要做什么准备?

不用惊慌!我们并不会要求你精通计算机安全技术,但是我们建议你能够了解一些计算机系统及编程方面的基础知识。无论你的基础如何,只要你对它感兴趣,你总会在其中享受到乐趣的,并且能够学习的新的知识。

网上有些练习资源可以参考,如果觉得这些练习太难,请不要沮丧。

另外,BCTF赛题会与国际CTF比赛接轨,因此可以报名参加国际CTF比赛(详情参考ctftime)进行练手,也可以随时练习往届CTF赛题(赛题集合)。

能否介绍一下蓝莲花(blue-lotus)战队?
蓝莲花(blue-lotus)战队成立于清华大学网络与信息安全实验室,主要从事计算机安全攻防方面的研究。 多数主要成员为清华大学在读研究生,后吸纳包括来自浙江大学、上海交大、青岛理工、中国海洋大学、杭州电子科大等高校的多名学生, 以及若干绿盟、阿里巴巴等公司的年轻安全技术人员。在业余时间,团队组队参加多项国际知名CTF赛事, 曾作为中国的团队首次闯入全球顶级的DEFCON CTF总决赛。这里可以看到blue-lotus在各项国际CTF赛事中取得的所有成绩。