内容来自CTFwiki , 可以到Wiki上看全部内容 https://wiki.x10sec.org/introduction/content-zh/

CTF 的起源

CTF 的前身是传统黑客之间的网络技术比拼游戏，起源于 1996 年第四届 DEFCON。

早期 CTF 竞赛

第一个 CTF 比赛（1996 年 - 2001 年），没有明确的比赛规则，没有专业搭建的比赛平台与环境。由参数队伍各自准备比赛目标（自行准备与防守比赛目标，并要尝试攻破对方的比赛目标）。而组织者大都只是一些非专业的志愿者，接受参赛队伍手工计分的请求。

没有后台自动系统支持和裁判技术能力认定，计分延迟和误差以及不可靠的网络和不当的配置，导致比赛带来了极大的争论与不满。

「现代」CTF 竞赛

由专业队伍承担比赛平台、命题、赛事组织以及自动化积分系统。参赛队伍需提交参赛申请，由 DEFCON 会议组织者们进行评选。

就 LegitBS 组织的三年 DEFCON CTF 比赛而言，有以下突出特点：

• 比赛侧重于对计算机底层和系统安全的核心能力。
• 竞赛环境趋向多 CPU 指令架构集，多操作系统，多编程语言。
• 采用「零和」计分规则。
• 团队综合能力考验：逆向分析、漏洞挖掘、漏洞利用、漏洞修补加固、网络流量分析、系统安全运行维护以及安全方面的编程调试。

Content

由于 CTF 的考题范围其实比较宽广，目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话，主要还是依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全 以及 Misc 安全杂项 来进行分类。

• Web - 网络攻防

  主要介绍了 Web 安全中常见的漏洞，如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等，Web 安全中常见的题型及解题思路，并提供了一些常用的工具。

• Reverse Engineering - 逆向工程

  主要介绍了逆向工程中的常见题型、工具平台、解题思路，进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。

• Pwn - 二进制漏洞利用

  Pwn 题目主要考察二进制漏洞的发掘和利用，需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中，PWN 题目主要出现在 Linux 平台上。

• Crypto - 密码攻击

  主要包括古典密码学和现代密码学两部分内容，古典密码学趣味性强，种类繁多，现代密码学安全性高，对算法理解的要求较高。

• Mobile - 移动安全

  主要介绍了安卓逆向中的常用工具和主要问题类型，安卓逆向常常需要一定的安卓开发知识，iOS 逆向题目在 CTF 竞赛中较少出现，因此不作过多介绍。

• Misc - 安全杂项

  以诸葛建伟翻译的《线上幽灵：世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点，内容主要包括信息搜集、编码分析、取证分析、隐写分析等。

全国大学生信息安全竞赛 - 竞赛内容

2016 年全国大学生信息安全竞赛开始举办创新实践技能赛，采取的就是传统的 CTF 赛制。在《2016 年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面，值得参考。

1. 系统安全。涉及操作系统和 Web 系统安全，包括 Web 网站多种语言源代码审计分析（特别是 PHP）、数据库管理和 SQL 操作、Web 漏洞挖掘和利用（如 SQL 注入和 XSS）、服务器提权、编写代码补丁并修复网站漏洞等安全技能。
2. 软件逆向。涉及 Windows/Linux/Android 平台的多种编程技术，要求利用常用工具对源代码及二进制文件进行逆向分析，掌握 Android 移动应用 APK 文件的逆向分析，掌握加解密、内核编程、算法、反调试和代码混淆技术。
3. 漏洞挖掘和利用。掌握 C/C++/Python/PHP/Java/Ruby / 汇编 等语言，挖掘 Windows/Linux（x86/x86_64 平台）二进制程序漏洞，掌握缓冲区溢出和格式化字符串攻击，编写并利用 shellcode。
4. 密码学原理及应用。掌握古典密码学和现代密码学，分析密码算法和协议，计算密钥和进行加解密操作。
5. 其他内容。包括信息搜集能力，编程能力、移动安全、云端计算安全、可信计算、自主可控、隐写术和信息隐藏、计算机取证（Forensics）技术和文件恢复技能，计算机网络基础以及对网络流量的分析能力。