diff --git a/.github/workflows/cos.yaml b/.github/workflows/cos.yaml index fe5dd1b..282e6e6 100644 --- a/.github/workflows/cos.yaml +++ b/.github/workflows/cos.yaml @@ -7,6 +7,7 @@ on: jobs: build: + if: github.repository == 'camera-2018/hdu-cs-wiki' runs-on: ubuntu-latest steps: diff --git a/1.杭电生存指南/1.2竞赛指北.md b/1.杭电生存指南/1.2竞赛指北.md index 4812509..350d881 100644 --- a/1.杭电生存指南/1.2竞赛指北.md +++ b/1.杭电生存指南/1.2竞赛指北.md @@ -1,7 +1,5 @@ # 竞赛指北 -> 本部分带有强烈主观色彩,仅为笔者作为技术人员参(陪)与(跑)过一年半的竞赛(如新苗、大创、互联网+、服务外包、电商、大小挑等含文本元素的竞赛)的感想。仅供参考。如有其他看法,欢迎留言。 - ## 竞赛可以带来什么 “哪个比赛更有含金量” 的问题应该是很多同学会关心的,然而比赛对人的帮助是因人而异的。比起列一个所谓的比赛含金量排名,笔者认为认清自己想要的是什么,再去评判比赛含金量才是有意义的。 @@ -16,7 +14,7 @@ - 如果你想锻炼自己的技术 -像 ACM 等纯技术类比赛,利用比赛锻炼技术是完全可行的;如果是含文本元素的竞赛,利用比赛驱动自己学技术相对有利有弊。利在有人催你做项目,你可以直接按照文本给的要求写项目而不用自己想 Idea 。一旦获奖,对做技术的人而言也是正反馈。而且如果团队走的足够远,会有人帮你推广你做的项目。弊端也很明显。很多含文本元素的比赛并不注重具体落地,只要文本写的够好就能入围。这种情况下 +像 ACM、CTF 等纯技术类比赛,利用比赛锻炼技术是完全可行的;如果是含文本元素的竞赛,利用比赛驱动自己学技术相对有利有弊。利在有人催你做项目,你可以直接按照文本给的要求写项目而不用自己想 Idea 。一旦获奖,对做技术的人而言也是正反馈。而且如果团队走的足够远,会有人帮你推广你做的项目。弊端也很明显。很多含文本元素的比赛并不注重具体落地,只要文本写的够好就能入围。这种情况下 1. 有可能组内成员提出一些工作量相当大的需求(例如一个人全栈)或者以现阶段能力完全做不了的需求,来圆上之前画的饼。 2. 当发现 “只要糊弄一下套个空壳也可以” ,你可能就不想把项目落地了。这会极大地挫伤一个人独立开发完整项目的积极性。 @@ -55,6 +53,36 @@ 不过所有项目都始于初创项目,还是鼓励大家如果有自己的想法可以考虑初创项目。以个人体感而言,参与一个祖传项目虽然获奖相对容易,但作为一个项目的初创人,从组织团队、开发项目、打各大比赛到拿奖加 GPA ,这样的经历哪怕没拿奖也是很不错的锻炼。 +## CTF (信息安全竞赛) + +> CTF 能满足你对黑客的一切幻想 + +计算机信息安全竞赛在社会上的知名度并不高,但它和 ACM 一样是强技术竞赛,无任何 PPT 环节以及展示环节(除了一些少数比赛如国赛省赛有知识竞赛这一环节/赛道),技术就是唯一取胜的关键。CTF 是计算机安全竞赛的一种赛制,全称“Capture The Flag”,即夺旗赛,比赛选手需利用自己的计算机安全技术完成挑战,成功拿下题目后会获得一个使用`flag{}`包裹的字符串,这个字符串就是flag,提交到平台上就可以获得一定的分数。 + +杭电的 CTF 竞赛历史悠久,Vidar-Team 信息安全协会的主打比赛就是 CTF,据本文档编写之时算起已有 15 年的历史,大大小小国内国外获奖无数,本 wiki 的计算机安全部分也由信息安全协会编写。 +![](./static/prize.png) + +### 优点 + +信息安全竞赛是强技术类竞赛,如果你选择计算机安全作为自己的主攻方向,该竞赛将包含几乎所有计算机安全的内容,在一个竞赛里就可以从入门到入土。 + +CTF 在计算机安全类招聘,以及计算机安全类研究生招生中占有很大作用,安全类企业在招聘时更喜欢 CTF 选手,就好像算法岗更喜欢 ACM 选手一样(虽然现在两者的就业都没有以前好了)。 + +计算机安全也是一个挑战性很强的领域,在国外有很高的研究热情,如今在国内也受政府大力支持,比如强网杯由河南省政府主办,奖金高达 500 万元,西湖论剑由浙江省政府主办,奖金也很丰厚。除此之外,在计算机安全领域还有漏洞赏金这一说,大型企业都会有 SRC(Security Response Center,安全应急响应中心)这种平台,上交该企业的漏洞就可以获得赏金,比如微软 RDP 远程代码执行漏洞(通过一定手段使得另一台电脑执行任意代码)赏金高达 10 万刀。VMware 虚拟机逃逸(在虚拟机内通过一定的手段可以在主机上执行任意代码)20 万刀等,越有挑战性的领域赏金越高。国内的SRC平台:https://www.anquanke.com/src +![](./static/src.png) + +### 缺点 + +CTF 的缺点在于受学校支撑不大,学校不重视该比赛(但又有什么关系呢),CTF 浙江省省赛由杭电“主办”,为省A类竞赛,获一等奖可加 0.7 GPA(大约能让你三等奖学金(450元)变一等奖学金(1500元),但奖学金对于找工作其实没啥用),并且每队(3人)奖金 3 千元。全国大学生信息安全竞赛为B类竞赛,和省赛同等待遇。除该两个比赛以外,剩下的比赛学校均不认可(近年来强网杯等政府主办比赛也稍微提高了认可度)。但浙江省省赛在社会上的认可度远不如国赛和其他企业/战队主办的比赛。如果你想依靠竞赛去争取杭电可怜的保研名额,老老实实打数模这种杭州电子数模大学高度认可的比赛,不要选 CTF。 + +CTF还有的缺点也是目前热门领域的通病:发展速度过快,后来者需要学的东西越来越多越来越难越来越边缘。计算机安全作为一个对抗性比较强的课题(像人工智能里面的对抗性学习一样,两个AI互相下棋),发展速度是日新月异的,所以入行越晚风险越大。 + +--- + +更多可以参考计算安全章节 + +[传送门](/6.%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AE%89%E5%85%A8/6.%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AE%89%E5%85%A8.html) + ## 数据科学竞赛 这个比赛在一些学校相较而言比较冷门,但是含金量不低,奖项也相较而言比较丰厚,如果对数据科学比较感兴趣(4.8章节)的同学可以进一步了解 @@ -96,70 +124,3 @@ 由于笔者是创意组的,对其他组别不是很了解,就来介绍一下我们组别的情况。我们组别全称是智能车百度创意组,是由百度与鲸鱼机器人赞助的一个比较新的组别(目前是第三年,不过也开始卷起来了),该组别与传统组别的一个比较大的不同是对于硬件方面的要求并不高(但也是需要了解的,像 arduino ,stm32 这些稍微都得玩的起来),侧重会偏向软件算法方向。百度创意组总体分为两个阶段,线上赛和线下赛,线上赛的任务有点像是 kaggle 打榜,不过是百度官方命题,并且在飞浆平台上进行测试的,本质考验的就是你对神经网络的理解和调参(炼丹),如下图所示 ![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnQe2AYHX93NUz6Sfoq3hUPd.png) - -## CTF (信息安全竞赛) - -利益相关: VidarTeam Web手 - -> CTF 能满足你对黑客的一切幻想 - -CTF 分太多方向了,近年来也还在根据实际需要不断增加。Web,Pwn,Reverse,Misc,Crypto 这五个方向是最经典的五个方向,大部分 CTF 竞赛都会有这五个方向。而近年来也有很多新兴方向IOT,Blockchain,AI... - -所以无论什么地方,只要有计算机在那么就很容易会衍生出计算机相关的安全问题,那么CTF就会出现相关赛题。 - -CTF非常重实践,一般允许上网查找资料,允许队内讨论,比赛形式一般有两种: - -### 解题赛 - -你需要做的事情很简单,利用你的安全知识去找出 flag。 - -flag 可能是被加密的,你得想办法破解它; - -可能放在对方服务器上,你得把服务器打下来; - -甚至可能是出题人设计了一个不可能完成的小游戏,你得写外挂通关他... - -虽然要做的事情是一样的,题目是千变万化的,做题手段是不受限制的。所幸的是大家并不是孤军奋战,一个人一般只需要负责一个方向即可。 - -### 攻防赛 - -又叫 AWD,是攻防结合的形式,在攻击其他选手的服务器的同时,你需要找出自己的服务器上的漏洞并在其他选手发现之前修复它。 - -比起解题赛或许做不出题很坐牢,AWD 非常的紧张刺激。 - -### 适合我吗 - -首先 CTF 适合绝大多数具有自主学习能力并对其感兴趣的人,他并不挑基础,大部分人都是在大学阶段起步的,不像 ACM,没有 OI 基础在杭电 ACM 真的相当难混。 - -- 如果你曾经梦想过成为一名黑客,穿梭于网络世界,揭露隐藏的秘密,那么现在就是实现梦想的时候。 -- 如果你想追求最为纯粹的最为极致的计算机技术,不想被平庸的条条框框所束缚,那么是时候挣脱他们了,在这里不限手段不限方向。 -- 如果你对于普通的软件开发感到厌倦或者不满足,那么现在就是做出转变的时候。 -- 如果你是一个苦于常常无人可以交流的社恐技术宅,那么你能收获最单纯最诚挚的伙伴。 -- 如果你对计算机一无所知,只是觉得计算机不错选了计算机专业,那么作为门槛最低的竞赛之一,其自然可以成为你的选择。 -- 如果你单纯想捞钱,网络安全拥有着高于计算机平均的薪资。 - -注意事项 - -- 不知道为什么学计算机,不想学计算机,学不下去,不建议。 -- CTF 虽然门槛低,但是学习强度非常高,学习范围非常广,就比如说,经过一年半的学习,成熟的 CTF Web 选手一般能够审计任意主流编程语言的代码,并选择一种深入挖掘。 -- CTF 竞赛强度非常高,一周甚至可能会出现需要同时打 2-3 个竞赛的情况(参加多了结算奖学金的时候就很有意思),坚持不下来的不建议。 -- CTF 非常非常重实践,没有实际复现一个漏洞而纯理论学习和比赛当场学没本质区别。 -- CTF 对自主学习能力要求很高,一是因为确实玩法多,二是由于 CTF 是允许上网查找资料的(一般也必须允许),所以经常会出现比赛过程中当场极速学习的事情。 - -总结:强度高,回报高,有且只有对技术有持续热情的人才能坚持下来。 - -### 战队现状 - -如果你决定要打 CTF ,基本上是要加入某个战队了,杭电目前有两支 CTF 战队,一支叫 [VidarTeam](https://vidar.club/),另一支叫 0rays。 - -VidarTeam 是一个技术类兴趣社团,战队同名。有15年历史了相当悠久,是国内第一批开始搞网络安全的战队,有一批很强的学长学姐,在安全领域有很高的知名度。 - -0rays 历史相对较短,是网安学院成立后,网安学院所建立的战队,水平也很不错。 - -此外,在校外还有很多高校联队,联合队伍往往实力非常强劲。 - ---- - -更多可以参考计算安全章节 - -[传送门](https://hdu-cs.wiki/6.%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AE%89%E5%85%A8/6.%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AE%89%E5%85%A8.html) \ No newline at end of file diff --git a/1.杭电生存指南/static/prize.png b/1.杭电生存指南/static/prize.png new file mode 100644 index 0000000..e6c79d6 Binary files /dev/null and b/1.杭电生存指南/static/prize.png differ diff --git a/1.杭电生存指南/static/src.png b/1.杭电生存指南/static/src.png new file mode 100644 index 0000000..bbac714 Binary files /dev/null and b/1.杭电生存指南/static/src.png differ diff --git a/6.计算机安全/6.计算机安全.md b/6.计算机安全/6.计算机安全.md index c375410..b433b9d 100644 --- a/6.计算机安全/6.计算机安全.md +++ b/6.计算机安全/6.计算机安全.md @@ -4,9 +4,74 @@ > > Vidar-Team 2023 招新 QQ 群: 861507440(仅向校内开放),欢迎对安全感兴趣的小伙伴加入我们! - 计算机安全,通俗的讲就是黑客,主要研究计算机领域的攻防技术,主要包括网络安全(Web)和二进制安全(Bin,包含Pwn和Reverse)两大类。现有的 CTF 信息安全竞赛里面还会看到密码学(Crypto)和安全杂项(Misc),以及最近几年新兴的 IoT 安全,人工智能安全等方向。本系列文章会按照CTF的5个方向,Web、Pwn、Reverse、Crypto、Misc来进行介绍。目前引入了HGAME Mini2022我们编写给新生的入门材料,在今年的10月份和寒假,我们也会分别举办HGAME Mini和HGAME这两场CTF,来帮助新生更好的入门安全。 +**招新方向汇总:** + +- Web(网络安全) + - 渗透(模拟黑客攻击,找寻漏洞,修补、加固系统) + - 开发(网络的搭建和维护,网站开发) + - 运维(各类服务器的运行维护,路由佬) +- Bin(二进制安全) + - Pwn(关注软硬件的底层,对操作系统与应用程序本身进行攻击,如大名鼎鼎的永恒之蓝) + - Re(逆向工程,研究领域包括游戏安全、病毒分析、软件加密/解密、自动化程序分析及测试等) +- 综合 + - Misc 杂项(流量分析,电子取证,大数据统计等,覆盖面比较广) + - Crypto 密码学(与加密系统相关,从已加密的信息中破译明文) + - 无线安全(RFID,无线遥控,ADS-B,BLE,ZigBee,移动通信,卫星通信) + - Iot安全 (从软件和硬件出发,多方向探索物联网设备) + - 人工智能安全 (使用人工智能技术赋能安全,模型本身安全问题) + - 美工(负责协会相关的设计,如比赛海报与 LOGO,会服、钥匙扣等等各类周边的制作) + - 计算机图形学(游戏开发,游戏引擎开发) + +也欢迎所有其他热爱技术的同学加入 VidarTeam + +**Vidar-Team 是技术类兴趣社团,为技术而生而不是为 CTF 而生**。 + +## 竞赛形式 + +### 解题赛 + +你需要做的事情很简单,利用你的安全知识去找出 flag。 + +flag 可能是被加密的,你得想办法破解它; + +可能放在对方服务器上,你得把服务器打下来; + +甚至可能是出题人设计了一个不可能完成的小游戏,你得写外挂通关他... + +虽然要做的事情是一样的,题目是千变万化的,做题手段是不受限制的。所幸的是大家并不是孤军奋战,一个人一般只需要负责一个方向即可。 + +### 攻防赛 + +又叫 AWD,是攻防结合的形式,在攻击其他选手的服务器的同时,你需要找出自己的服务器上的漏洞并在其他选手发现之前修复它。 + +比起解题赛或许做不出题很坐牢,AWD 非常的紧张刺激。 + +### 适合我吗 + +首先 CTF 适合绝大多数具有自主学习能力并对其感兴趣的人,他并不挑基础,大部分人都是在大学阶段起步的,不像 ACM,没有 OI 基础在杭电 ACM 真的相当难混。 + +#### 劝学 + +- 如果你曾经梦想过成为一名黑客,穿梭于网络世界,揭露隐藏的秘密,那么现在就是实现梦想的时候。 +- 如果你想追求最为纯粹的最为极致的计算机技术,不想被平庸的条条框框所束缚,那么是时候挣脱他们了,在这里不限手段不限方向。 +- 如果你对于普通的软件开发感到厌倦或者不满足,那么现在就是做出转变的时候。 +- 如果你是一个苦于常常无人可以交流的社恐技术宅,那么你能收获最单纯最诚挚的伙伴。 +- 如果你对计算机一无所知,只是觉得计算机不错选了计算机专业,那么作为门槛最低的竞赛之一,其自然可以成为你的选择。 +- 如果你单纯想捞钱,网络安全拥有着高于计算机平均的薪资。 + +#### 劝退 + +- 不知道为什么学计算机,不想学计算机,学不下去,不建议。 +- CTF 虽然门槛低,但是学习强度非常高,学习范围非常广,就比如说,经过一年半的学习,成熟的 CTF Web 选手一般能够审计任意主流编程语言的代码,并选择一种深入挖掘。 +- CTF 竞赛强度非常高,一周甚至可能会出现需要同时打 2-3 个竞赛的情况(参加多了结算奖学金的时候就很有意思),坚持不下来的不建议。 +- CTF 非常非常重实践,没有实际复现一个漏洞而纯理论学习和比赛当场学没本质区别。 +- CTF 对自主学习能力要求很高,一是因为确实玩法多,二是由于 CTF 是允许上网查找资料的(一般也必须允许),所以经常会出现比赛过程中当场极速学习的事情。 + +总结:强度高,回报高,有且只有对技术有持续热情的人才能坚持下来。 + +--- 下面是一些CTF领域写的不错的入门文章和平台,也可以根据文章内容进行学习~ ### 入门文章