经过两周的酝酿,大家或多或少对Web安全相关技术有了一定的认识,接下来以CTF作为突破点进行专项练习~
因每位同学的基础和接受能力不一样,所以安排了不太一样的打卡任务。
PHP基础开发是每位Web🐶 都应该掌握的,因为对于以后的Web安全学习起到十分重要的作用,如对CTF题目代码的快速理解能力,以及后续进一步的深入代码审计和熟悉PHP特性打好基础。
【PHP开发实战】
Cx330、GG Bond、库伊拉
完成时间:8.6-8.18(8.14中期检查)
https://www.php.cn/course/163.html
跟着上面链接开发一个小Web系统,代码通过github或者码云,整一个公开仓库,开发一部分就推一部分到远程仓库,最后我会拷贝你这个仓库到本地看你代码和在我本地的运行情况。
- README要包含Web系统的运行环境、部署手册
- 编码要注意安全性,不能包含SQL注入、XSS等OWASP TOP10漏洞
【CTFSHOW-爆破】
Cx330、GG Bond、Asakurakrypton、strange丶君夜、库伊拉
完成时间:8.6-8.13(8.10中期检查)
完成范围:web21-web24
像Week1和Week2一样编写WP
【CTFSHOW-PHP特性】
Asakurakrypton、strange丶君夜、王可莉
完成时间:8.6-8.13(8.10中期检查)
完成范围:PHP特性 Web89-99
- WP编写规范
一定要记录这是什么类型特性、能适应的PHP版本是什么,利用前提是什么(有的话)
可参考下面链接的标签记录
https://www.yuque.com/fosusec/introduce/vr5kgn
或参考这位大佬的刷题笔记
https://www.yuque.com/fosusec/ctfshow/fqgtly
【反序列化专题】
王可莉
完成时间:8.6-8.13(8.10中期检查)
完成范围:web254-258、web260、web262-web266、web259、web261、web275、276
- WP编写规范
一定要记录这是什么类型特性、能适应的PHP版本是什么,利用前提是什么(有的话)
可参考下面链接的标签记录
https://www.yuque.com/fosusec/introduce/vr5kgn
或参考这位大佬的刷题笔记
https://www.yuque.com/fosusec/ctfshow/fqgtly
【战队成长】
- 保证战队每位成员都熟悉PHP基础开发
- 战队对一些爆破姿势有进一步了解
- 熟悉PHP的基础特性(比赛中常用的骚姿势)
- 入门PHP反序列化漏洞