Security 是什麽酷东西啊

本篇要介绍的是读者在大四上学期所修的一门课，也因为这门课的关系我才开始接触网路安全以及 AIS3，如果刚好有北科大的学弟妹看到这篇文章，也可以考虑修看看这门课喔！

进入正题

在大四上学期的加退选期间，EC 告诉我他加签了一门资财系开的网路与系统安全，学期末会开一个 CTF 竞赛作为你的期末成绩。
於是我跟 EC 以及一个路人甲同学就一起加选了这门课！

BTW. 路人甲在缴交完第一次作业以後就受不了所以退选了，所以在这边才会用路人甲称呼他 (偷嘴)。

什麽是 CTF

CTF (Capture The Flag) 一词是从模拟战争中的抢旗模式发展出来的，一般来说，CTF 竞赛有两种比赛方式：
1. 挑战举办单位设计的题目
题目通常会是一个档案或是目标网址，参加者需要找到题目的漏洞 (根据标题或是题目猜测漏洞类型) 想办法攻击他拿到 flag。
2. 攻防战
参赛队伍各持有一台有漏洞的主机，比赛期间需要一边补漏洞、一边攻击其他参赛选手。

关於详细的 CTF 介绍，可以参考其他前辈的铁人赛文章 CTF 的三十道阴影。

课堂教什麽

整学期教了： (没有照顺序)

• 密码学基础 & 爆破
• 情资搜集
• 渗透测试
• OWASP Top 10
• Metasploit 使用技巧
• Shell code 撰写技巧
• XSS
• SQL Injection

其中有部分是由安华联网的技术长来上课，其他都是由魏教授亲自教授。
然後课堂会提供云端资安攻防平台的帐号密码，让我们有现成的 VM (Kali or Windows 靶机) 可用。

作业 & 报告

• 资讯搜集
  练习使用 SHODAN 以及 Nmap 等工具。
• 攻击靶机以重现 BlueKeep
  练习 metasploit。
• 弱点扫描
  练习使用 Openvas。
• 期末报告
  介绍金融业遇到的攻击事件，并且尽可能的讲解攻击原理。

期末发生的小插曲

因为我跟 EC 觉得介绍攻击事件还蛮无聊的 (大家介绍的案件都差不多)，又刚好我在前阵子闲闲没事做时不小心挖到了真实世界的网站漏洞 (SQL Injection)，所以我们就决定报告我已经回报给 HITCON ZeroDay 的漏洞。
结果老师听完报告以後说: 这组同学实验精神可嘉，但是做了最坏的示范 (攻击真实世界的电脑)，这样如果被测试方真要追究起来，就算我们有将漏洞回报也没有用。

看的出老师真的是又开心又替我们紧张，还跟我们交换了联络方式并交代我们如果被警察约去喝咖啡记得马上联络他。

总结

本日的故事就到这边结束，未来几天也会再提到网路安全的部分，有兴趣的读者可以期待一下(?)