一、Writeup的概念
Writeup,即“攻略”、“攻擊性演練”,指模擬攻擊者行為,對系統、應用或網絡進行漏洞攻擊檢測、漏洞利用和風險評估,以提升安全防禦能力和完善安全措施。在實際應用中,writeup主要是以CTF比賽為主要場景,通過編寫題目writeup,來介紹漏洞利用、缺陷分析、數據分析以及安全審計等方面的知識和經驗。
二、Writeup php雙寫替換為空格
在CTF或其他安全領域中,有時會遇到過濾輸入的情況,php雙寫替換為空格就是常見的繞過過濾的技巧之一。下面是將php雙寫替換為空格的代碼示例:
<?php
$input = preg_replace("/((?i)php|(?-i)[a-z][a-z][a-z])(://|:)/i","$1 ",$_GET["input"]);
?>
在這個示例里,用一個正則表達式識別“php”或者以三個小寫字母開頭然後後面跟“://”或者“:”開頭的字符串,然後將它們都替換成一個空格。
三、Write down
Write down指的是,當你在CTF比賽中遇到一個新的問題或解決方法時,你需要把它記錄下來,便於後續的學習和使用。下面是寫down的一些建議:
1、儘可能詳細的寫下你的思考過程,這對你以後回顧複習時非常有幫助;
2、在解決問題時,記錄下你的思路和解決方法,以便於復盤你的過程;
3、在CTF比賽中,遇到好的工具和技術也記得及時記錄下來。
四、Write
Write是writeup的核心,是指撰寫題目writeup的過程。通過寫writeup,有助於理清知識架構,將思考和實踐經驗梳理成體系,形成自己的安全思考方式。下面是寫writeup的一些建議:
1、在寫writeup之前,你需要仔細地審查題目,最好把題目中所有信息都記錄下來;
2、在寫過程中,要注意格式的規範和排版的整齊,容易閱讀的writeup可以為你的得分加分;
3、在整篇文章中,最好體現出你的創新性和批判性思維,引出你的解題思路或者解題方法。
五、Write-up的應用
Write-up除了可以在比賽中展示你的安全技術和經驗,還可以在實際應用中用於:
1、安全漏洞評估:write-up的過程中,集成了漏洞探測、分析漏洞、利用漏洞等環節,能夠對被測對象的安全水平進行全面評估;
2、安全技術培訓:write-up中內容涉及到缺陷分析、安全審計、數據分析等多個安全領域的知識,能夠作為安全技術培訓的主要教材;
3、安全策略制定:通過write-up可以發現安全漏洞和問題所在,有助於組織制定相應的安全策略和應對措施。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/250759.html
微信掃一掃 
支付寶掃一掃 