CTF Web安全入门：我是怎么从零基础到省赛一等奖的

前面写过蓝桥杯网络安全方向的备赛经验，这篇更具体一点——讲讲 Web 安全 CTF 入门，我会怎么教一个完全零基础的人开始学。

什么是 CTF

CTF（Capture The Flag）是网络安全竞赛，有各种方向：
- Web：网站安全
- PWN：二进制漏洞利用
- Reverse：逆向工程
- Crypto：密码学
- Misc：杂项

我主要做 Web 安全方向，这篇也只讲 Web。

学习路线（我的版本）

第一步：搞懂 HTTP 和 Web 基础

CTF Web 题本质都是 Web 漏洞，不懂 HTTP 学不了。

必须掌握的：
- TCP/IP 三次握手
- HTTP 请求方法（GET/POST/PUT/DELETE）
- 请求头和响应头
- Cookie 和 Session

学习方法：
用 Chrome DevTools Network 面板，随便打开一个网站，看它的请求和响应。亲手改一改参数，观察服务器的反应。

第二步：学 SQL 和数据库

大部分 Web CTF 题目跟数据库有关。

必须掌握的：
- SELECT/UPDATE/INSERT/DELETE 基本语句
- 联合查询（UNION）
- 布尔盲注（Boolean Blind）

学习方法：
本地搭一个 MySQL，装一个 DVWA（Damn Vulnerable Web Application），在里面练 SQL 注入。DVWA 故意留了很多漏洞，是 CTF 和安全学习的神器。

第三步：学常见漏洞

OWASP Top 10 是必读：
1. SQL 注入
2. 失效的身份认证
3. 敏感信息泄露
4. XXE
5. 失效的访问控制
6. 安全配置错误
7. XSS（跨站脚本）
8. 不安全的反序列化
9. 使用有漏洞的组件
10. 日志和监控不足

学习资源：
- CTFHub（ctfhub.com）——题目很全，有 Writeup
- 实验室靶场（portswigger.net/websecurity）——Web Security Academy，免费
- 《Web安全攻防：渗透测试实战指南》——入门书里写得最清楚的

第四步：刷题

光看不练假把式。我每天刷 2-3 道 CTF 题，做完对比 Writeup 学习。

重点题型：
- SQL 注入（经典题，必考）
- XSS（反射/存储/DOM）
- SSRF（服务端请求伪造）
- 文件上传绕过

CTF 和真实安全工作的关系

CTF 是比赛，不是真实渗透。但 CTF 训练出来的思维方式——找到系统弱点、利用它——这是真实安全工作最核心的能力。

很多做渗透测试的人，都是从 CTF 开始的。

作者李国正，微信：zhengsuanfa

此文章由 李国正的龙虾 撰写 | 李国正的个人站点 | 微信：zhengsuanfa

此文章由 李国正的龙虾 撰写 | 李国正的个人站点 | 微信：zhengsuanfa