Hình thức chơi Jeopardy trong CTF là gì?

Thảo luận trong 'Thảo luận các cuộc thi CTF khác' bắt đầu bởi 5kytu, 22/03/16, 10:03 PM.

  1. 5kytu

    5kytu W-------

    Tham gia: 18/09/15, 11:09 PM
    Bài viết: 22
    Đã được thích: 16
    Điểm thành tích:
    8
    Jeopardy là gì? Có ăn được không?

    Jeopardy là hình thức thi phổ biến nhất trong các cuộc thi Capture the Flag (CTF). Đây là hình thức thi đấu trực tuyến hoặc tại chỗ, bao gồm nhiều bài thi nhỏ, thuộc các dạng khác nhau như:
    • Các hình thức phổ biến
      • Web application: Khai thác các lỗ hổng ứng dụng web (SQL injection, XSS, Seasion Hijacking,…)
      • Reverse engineering: Dịch ngược mã nguồn phần mềm, unpack các packer bảo vệ mã nguồn
      • Pwnable: Tìm lỗi, khai thác các lỗ hổng trong các ứng dụng server, phần mềm, hoặc đoạn mã (ví dụ: buffer overflow, viết shellcode, format string,…)
      • Network/Forensic: Điều tra, phân tích các dấu vết số (phân tích gói tin, phân tích dump bộ nhớ, ram….)
      • Crypto/ACM: Giải mã string, giải thuật, phân tích thuật toán, lập trình thuật toán…
    • Các hình thức khác
      • Recon/Trivian: Điều tra, phân tích thông về các mục tiêu, cá nhân cho trước trên internet
      • System admin: Thiết lập, xây dựng cấu hình, phân tích cấu hình mạng, cấu hình hệ thống
      • Stegano: Sử dụng các kỹ thuật tìm kiếm thông tin ẩn giấu trong các file ảnh, file âm thanh, file mã hóa…
      • Misc: Các yêu cầu cần sử dụng nhiều kỹ năng ở trên kết hợp
    [​IMG]

    Hình thức chơi

    Các đội chơi (tùy từng cuộc thi CTF có thể giới hạn người, thường từ 1 người đến 6~7 người một đội) sẽ đăng ký trước với BTC kỳ thi thông tin tham gia của mình bằng cách trực thông qua các trang đăng ký của BTC hoặc trực tiếp, nhận về tài khoản tham gia cho cả đội hoặc từng cá nhân. Thời gian đăng ký bắt đầu trước khi ngày thi diễn ra và kéo dài đến thời điểm bắt đầu thi hoặc đôi khi là kéo dài đến khi kết thúc cuộc thi.

    Thời gian thi của các cuộc thi thường kéo dài trong khoảng vài giờ (với các cuộc thi tại chỗ) cho đến 1~2 ngày hoặc có thể hơn (với các cuộc thi trực tuyến)

    Khi cuộc thi bắt đầu, các đội thi cần đăng nhập vào trang dự thi bằng tài khoản của đội mình hoặc của mình, bắt đầu làm bài thi với các đề bài mà BTC đưa ra.

    Đề bài thường có dạng là 1 câu chuyện, hoặc đôi khi đơn giản chỉ là 1 đường link.

    Các đội chơi cần vượt qua các yêu cầu của đề bài để giành được cờ (flag). Khuôn dạng của cờ là không cố định, tùy theo từng cuộc thi có thể quy định khuôn dạng mẫu hoặc không, hầu hết là các chuỗi string. Ví dụ:
    ** Chính vì việc không có khuôn dạng flag cố định nên đôi khi các đội sẽ dễ dàng bị nhầm lẫn giữa flag thật và các flag giả do BTC vô tình hoặc cố ý tạo ra để tăng mức độ khó của phần thi. Vì vậy ngay khi tìm được chuỗi có khả năng cao là flag, các đội nên submit ngay để kiểm tra, vì việc submit flag là không giới hạn, tuy nhiên các hình thức bruteforce flag là bị cấm tại các kỳ thi.

    Cùng lúc các đội thi có thể phân công thành viên làm nhiều bài khác nhau tùy theo sở trường của từng người, không cần phải làm theo thứ tự từng bài một.

    Khi đã giành được flag, các đội chơi cần nộp (submit) ngay flag của đội mình để giành điểm sớm nhất, ở một số cuộc thi, các đội giành điểm sớm nhất còn có thể được cộng điểm bonus.

    Kết thúc cuộc thi, các đội có số điểm cao nhất là các đội giành chiến thắng.

    Write-ups

    Khi cuộc thi kết thúc, các đội giải được bài trong cuộc thi có thể sẽ viết các write-ups, dưới dạng các bài giải, hướng làm, hoặc là tường thuật lại quá trình làm bài của đội. Đôi khi các write-ups này cũng là do BTC đưa ra sau khi kết thúc cuộc thi. Các đội chơi khác thường theo dõi write-ups của các bài mình chưa làm được để có kinh nghiệm trong lần thi sau.

    Luyện tập

    Dưới đây là các trang web tổ chức các bài thi ctf trực tuyến, các bài thi này không giới hạn thời gian làm bài và thời gian đăng ký. Các bạn có thể tham khảo, và chơi thử để hiểu hơn về kiểu chơi CTF này:
     
    Last edited by a moderator: 22/03/16, 10:03 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan