CTF训练营-Web篇：第4周内容已更新！

什么是CTF？

头戴式耳机？电竞座椅？炫酷的队服？灯光闪耀的舞台？座无虚席的观众？应该和王者荣耀之类的电竞游戏差不多吧，不怕大家笑话，小编没接触之前也是这么想的，可能是被韩商言鬼迷心窍了吧...

实际上，CTF不等同于电竞，不是玩游戏，也不是“玩物丧志”，一般是为了剧情需要，电视剧中的CTF比赛会被电竞化。CTF全称“Capture The Flag”，译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，现已成为全球范围网络安全圈流行的竞赛形式，DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛，被称为CTF赛场中的“世界杯” 。

CTF很重要吗？

是的，很重要。毫不夸张的说，CTF目前已经成为信息安全领域选拔人才、互相展示battle技能水平的重要平台了。

首先，从国家层面来说网络安全已上升至国家战略，我国网络安全人才缺口较大，通过CTF比赛选拔顶尖人才对于中国的互联网安全发展、实战人才培养起到了关键性的作用。

从企业角度来看，互联网巨头都有意识地通过比赛来寻觅优秀的网安人才，一些知名的互联网公司都有专门的网络安全部门、实验室，那里的员工多数有过CTF的参赛经历。很多企业实际上将CTF当成了自身社区推广和招聘策略的一部分，它能帮助企业识别潜力股。

从高校层面看，近几年越来越多的高校开设与网安有关的行业，很多高校联合创办各种CTF比赛，一方面通过比赛使校内学生获得技术上的切磋，另一方面也说明政府、国家都在大力推进。

最后，从个人角度出发，CTF是入门网络安全比较快的途径，不仅可以培养思维能力、快速学习能力、提高技术能力和不怕困难的心态，还能集结、认识一群志趣相投的朋友，共同进步。

通往顶级CTF选手的道路是漫长且孤独的。CTF偏重于实践，仅靠读书、学一门课是远远不够的，很多坑得跳了才知道！它需要足够的兴趣和精力，不停地做题、实战、锻炼，并没有捷径可走。

但是对于初学者来说，缺少入门指引就会感到迷茫，不知道去做什么题，也不知道去学什么，怎么学，通过什么方式学？

CTF比赛通常包含的题目类型包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。Web是CTF竞赛的主要题型，web的题型非常多，题目涉及到许多常见的WEB漏洞，诸如XSS、文件包含、代码执行、上传漏洞、SQL注入。也有一些简单的关于网络基础知识的考察，例如返回包、TCP-IP、数据包内容和构造，可以说题目环境比较接近真实环境。更重要的是Web类大小公司都有招聘需求，易找工作。

那么作为一个初次接触CTF-Web的新手，如何在各大赛事中崭露头角，赢得一席之地呢？