最近厂里决定要做些能力提升项目,然后几个人分别去了解一些CTF题目和writeups,出点题目给组里的人做,然后我看的主要是ppc,misc和stega,先介绍一下这3个类型。
ppc是编程练习,不像那些OJ的算法题,他可能要求一个短时间内做出一个工程的能力,对算法的要求不是很苛刻,只要在有闲时间内解决一些问题即可。
misc是杂项题,比如给你一个抓包,让你针对这个抓包去做取证之类的工作,主要比较需要熟悉wireshark的用法,各类协议的熟悉程度,考察的知识范围非常广。
stega是隐写术,给人一个图片或者一段音频或视频,里面可能用某种方法隐藏着信息。
第一期的游戏也如火如荼地进行着,看着大家做着我的题被我坑,我自己也在题目谜面中疯狂玩梗,还是很有成就感的。突然觉得可以自己做个解谜游戏。(当然,更接近程序员的方式)
原来我的题是以同事的名字命名的,叫XX历险记,我准备布到vps上的话,就不用这个名字了,嗯,想到了再说。
关于其他类型的,主要就是最关键的二进制还有第二关键的web题了,这个我自己知道的内容也有限,没办法设计得很好,所以我还是以上述3类的解谜游戏为主,敬请期待。
最近在学习前端的一些技术,自己瞎做点东西。之前看到了个CVSS3,感觉公式还是挺复杂的,于是想做个动态的计算器,也算进行一点交互的小练习,链接在下方。(只有基础分)
CVSS全称是Common Vulnerability Scoring System的缩写,用CVSS的评分通常能够衡量一个漏洞的严重程度。
因为一开始查CVSS时都没有料到是CVSS3,因为平时工作上用到的都是CVSS2的打分,然后发现新增加了2项,挺有意思。这里我主要关注的是基础分。
CVSS3相比CVSS2明显的区别:
新出了2个维度,
利用维度中多了个UI user interaction维度,评价攻击者若要利用的话是否有一个正常用户正在执行操作,比如CSRF漏洞,通常需要别人点击一个钓鱼链接;比如有些漏洞只在系统更新时或者安装时才能利用,安装完毕后不能利用等,都是解决原来没有这个维度的情况。
单独多出了个新的维度 S Scope,评价了攻击者在使用这个漏洞时能否达成域的变迁,我认为这里应该是面对的是越来越多的虚拟化云化的产品,有些比如从虚拟机中系统调用实现中的漏洞可以使攻击者达成横向越权纵向越权,实现虚拟机逃逸,都可以算作是Scope Changed,比Scope Unchanged的情况更加严重。
至于还有什么具体的,还是直接扔原文链接吧,不误导人:
稍微折腾了一下环境,主页还没有弄好,之后准备主页有博客链接同时也有作品的链接,这样能够更加方便立体地进行展示。
之前的vps没有看速度,真是慢的一比,连上去老是断,没办法只好换了家,选择了日本的服务器,这样访问也稍微快一点,几乎没有丢包,100的延迟,还不错。
看了看那些静态页面的博客系统,虽然比较geeky也比较hacker,最终还是选择了wordpress,还是觉得富文本编辑加上文章的迁移。明天写点别的充实一下,继续前行,怀挺!