Facebook宣布在GitHub上公布其夺旗赛(Capture the Flag,CTF)平台的源代码。Facebook表示,这么做是为了帮助那些希望学习黑客技术、测试黑客技巧的人。它希望让学校、学生和非营利组织更便利地学习安全知识。该平台已遵照创意公用授权条款发布,供非商业性实体用于教育之目的。
Facebook CTF平台
Facebook的CTF平台具备进行黑客大赛所需要的一切,包括游戏地图、团队登记和评分系统。还可以按需提供逆向工程逆向工程、Web应用安全、取证、二进制开发和加密等挑战。用户还可以使用Facebook CTF平台定制或自定义挑战项目。
挑战分为以下两类:计算机安全方面的小问题,以及漏洞利用和黑客方面的标记问题。标记挑战要求参与者完成一项诸如转储数据库、获取系统外壳或操纵应用程序等任务。
“通过CTF平台,你可以学习到常规计算机科学项目中学习不到的技巧。此外,这个平台还帮助你进入安全行业。”Facbook威胁基础设施团队的软件工程师Gulshan Singh说。“在开始找全职工作时,我发现安全职位的面试很像CTF挑战,有了后者的经验,我可以更好地展示技能。第一天入职我就让人感觉非同凡响。”
CTF是什么意思
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。
怎么使用FBCTF
- 可以组织一场比赛,最少2个人,最多数百人。参赛者可以在本地或者在线,或者两种形式均可。
- 按照安装说明来设置平台基础架构
- 输入challenges进入管理界面
- 参赛者注册为战队
- 如果是一场封闭的比赛 :
- 在管理页面,生成并导出令牌,然后分享给核准的团队,然后引导参赛者到注册页
- 如果是一场开放的比赛:
- 直接引导参赛者到注册页面
- 如果是一场封闭的比赛 :
Facebook CTF源码下载
CTF平台可以搭建在运行Ubuntu操作系统的系统(物理机或虚拟机)上。Facebook已提供了关于如何安装和使用平台的说明。
Facebook指出,CTF已被纳入漏洞赏金计划。因此,有关该平台中的漏洞应通过此渠道进行披露。
大型技术公司开源内部开发工具的做法已屡见不鲜。去年,Netflix公布了一项名为“Sleepy Puppy”的跨站脚本攻击(XSS)漏洞发现框架。3月份,谷歌公布了供应商安全评估调查问卷(VASQ)框架。
下载地址:https://github.com/facebook/fbctf/