著名黑客大賽DefCon CTF（Capture The Flag，奪旗賽）資格賽日前落下帷幕，451支隊伍中最先完成比賽的前7支隊伍獲得了決賽資格，他們分別是：Routards、 Pandas with Gambas、 Guard@MyLan0、 Shellphish、 Taekwon-V、 WOWHACKER 和 PLUS，去年的冠軍1@stPlace也將應(yīng)邀參加決賽。

CTF資格賽的參賽門檻很低，只需要網(wǎng)上報名注冊即可，但是大會組織者會手工篩選出最后確定的參賽隊伍名單，要想在資格賽中勝出，不僅要有扎實的基本功，還必須要有一定的創(chuàng)造性思維以及在互聯(lián)網(wǎng)上搜索資料的技巧。資格賽分五個項目：Trivia、Forensics、Potent Pwnables、Real World和Binary Leetness。

Trivia正如其名字，里面的問題都較為輕松，而且不見得就是與技術(shù)相關(guān)，可能會有那些與黑客文化相關(guān)的問題出現(xiàn)；Forensics基本上是熱身，一般是在給定的文件中找出作為密匙（Key）的字符串；Potent Pwnables和Real World則是與現(xiàn)實網(wǎng)絡(luò)攻擊最為接近的項目，最終目的是獲得服務(wù)器管理權(quán)限并從服務(wù)器上獲取密匙字符串；Binary Leetness可以看作是前面三者的結(jié)合。

規(guī)則如下：每個項目中都有5道題，分值為100分到500分不等，除了最開始的一個問題是開放的之外（Lead Question），其他所有問題均是關(guān)閉的，最先做出Open Question的隊伍將有資格選擇任意一道問題作為新的Lead Question，其他隊伍可以選擇是繼續(xù)原來的題目或者跳到這個新的問題上去，直到所有問題被打開或者規(guī)定時間到，比賽結(jié)束。

對于每道題，最先完成的隊伍可獲得該題對應(yīng)的全部分數(shù)，第二名獲得95%的分數(shù)，其余的完成隊伍則獲得90%的分數(shù)，提交問題答案的次數(shù)沒有限制，但是由于是線上賽，因此導(dǎo)致記分牌死機的頻繁提交或者試圖黑掉服務(wù)器的方法是嚴格禁止的（事實上，比賽服務(wù)器是由一個名叫kenshoto的技術(shù)精英小組負責(zé)維護的，這些嘗試基本上是浪費時間）。以下圖片是比賽記分牌，圖中綠色代表已經(jīng)完成的題目，藍色代表目前已經(jīng)開放的題目，紫色代表你目前正在做的題目，黃色代表其他隊伍打開的題目（Lead Question），灰色代表關(guān)閉的題目。

P.S.本來2006年kenshoto提供了服務(wù)器環(huán)境的下載以便那些感興趣的人在自己的機器上測試那些牽涉網(wǎng)絡(luò)攻擊的題目，但是我突然找不到了。（汗）

DefCon是全球兩大公開黑客集會之一（另一個是BlackHat），匯集了民間諸多技術(shù)高手，期間會舉行眾多的活動，其中最有名的就是CTF奪旗賽，它的基本規(guī)則是隊伍在有安全缺陷的計算機上運行程序，完成隊伍之間的相互攻擊和自身防守，并且隊伍人數(shù)沒有限制。下面是CTF的現(xiàn)場布置：

CTF基本規(guī)則：每個隊伍分配一臺服務(wù)器，服務(wù)器上運行著很多網(wǎng)絡(luò)服務(wù)，這些服務(wù)多半有著安全缺陷。每個服務(wù)中包含一個權(quán)杖（Token，每個隊伍的Token不一樣），并分為Public、Private和Overwrite三種類型，參賽隊伍要做的就是要么獲取服務(wù)中的Token，要么把自己的Token寫入其他隊伍的服務(wù)中去，因此得分方式也就有三種：1、 Breakthrough，最先取得某一服務(wù)的控制權(quán)；2、Steal，獲得某一服務(wù)中的Private Token，并將其提交到積分服務(wù)器上；3、Overwrite，用自己的隊伍Token去覆蓋其他隊伍的專有Token。整個比賽將持續(xù)3天左右。

DefCon CTF決賽將于今年8月份在拉斯維加斯舉行。

【編輯推薦】

1. VB100六月測試：小紅傘金山知恥后勇 諾頓奇虎缺席
2. VB RAP殺軟嚴酷測試結(jié)果排座次 奇虎360領(lǐng)銜中國軍團
3. 如何在PureFTPd中集成ClamAV
4. 如何建立SSH加密的MySQL復(fù)制