我对 SRC 和 CTF 的一点小理解

来自:信安之路(微信号:xazlsec),作者:myh0st

对于安全行业的小伙伴来说,对于 CTF 和 SRC 都不陌生,或多或少有所了解。但是,对于安全技术来讲,如何证明自己的能力?如何评估一个人的安全技术在什么样的级别?面试的时候拿什么来做参考?对于这几个问题,目前大家谈的最多的就是在 xxx SRC 排名多少、在 xxx 比赛中拿过什么样的奖项,对于没有工作经验的人来讲,这些都是比较好的参考,如果工作几年之后,判断一个人技术能力的最大参考将变为工作期间的成就与经验。

在我大学期间,学校的三叶草每年都会组织 CTF 比赛,对于 SRC 的话也就是当年的乌云了。对于 CTF 和 SRC 能够拿到名次的基础是差不多的,但是一些打 CTF 很强的人不一定能在 SRC 上去的很好的名次,在 SRC 排名前几的在 CTF 比赛上也不一定能拿到好的名次,这是为什么呢?

CTF 那些事

ctf 比赛通常由技术大佬,将安全技术中的某个点,通过设计一个场景,让参赛者突破限制拿到隐藏的 flag,能否做出这个题目,取决于你是否能够理解出题人的思路和目的。加入出题人出题的思路比较常规,那么极大的可能会被人秒杀,为了防止辛辛苦苦出的题目被人秒杀,通常会加一些脑洞在里面,这样就大大的提升了题目的难度。

随着比赛不断举办,题目的难度越来越高,考察的技术深度越来越深,如果你是一个很强的 CTFer,那么你的安全技术基础是值得肯定的,即时没有什么工作经验,去了企业还是可以快速创造价值的。

SRC 那些事

从乌云时代到后来的补天,再到现在各大公司纷纷开设 SRC 来收集自家的安全漏洞、威胁情报,CTF 更侧重于技术学习和技术创新,而 SRC 的目标都是正运行在网络上的真实系统,如果你能找到系统的安全问题,这是可以直接造成危害或者对企业造成损失的隐患,所以 SRC 更加贴近实战。

CTF 考虑的是出题人的思路以及最新的技术动向,而 SRC 需要考虑的是真实的研发、运维因为自身安全意识不足而导致问题系统上线、或者未遵循安全配置等情况。作为一个 SRCer 要经常关注最新的漏洞报告情况、各个企业最新的业务系统、业务系统最新的功能,这些都是非常容易出问题的地方。如果你的 SRC 排名比较好,去了企业是可以直接创造价值的。

到了企业,你可以接触到在外面无法覆盖的系统,或者了解外围未能收集到的资产,利用你 SRC 的测试经验,可以快速为企业找出安全问题,而 CTFer 更多的是技术研究,如果企业有专门研究安全技术的实验室,那么 CTFer 是比较合适的。

总结

对于 SRC 和 CTF 如何获取好的名次,如何学习,这些就不多说了,有了基础之后,怎么发展需要个人的努力和时间来决定,我在这里就是把我的一些理解和思考分享出来,不一定全对,欢迎大家的吐槽,共同进步。

来自:信安之路(微信号:xazlsec)

信安之路.png

推荐↓↓↓
黑客技术与网络安全
上一篇:对 Dbshop 的一次代码审计过程 下一篇:Moloch 那些不得不说的事