前言

这将是我写的最后一篇有关CTF的文章,并不是做标题党,我将详尽地分析劝退的原因(前排提醒,仅从个人角度出发对Web方向进行探讨

本来还有个套路总结之类的想法,想来个最后的波纹。但实在心累,说实话没从CTF中收获到什么,也懒得好聚好散了,就这样吧。

与漏洞挖掘、护网相比

学安全重在实践,既然要劝退CTF,肯定也要给出更好的实践替代方案,在我看来除了纯纯的CTF天赋异禀选手,大部分人的更优解都是专注于漏洞挖掘这条赛道上,至于为什么,我将分几个方面来阐述。

过程上的弊病:不够贴合实际工作内容

CTF(Capture the Flag)说白了就是做题,就是游戏。我们都说做事要看重过程,少看结果,可选手们在CTF竞赛学到的安全知识中往往混合有解题套路的惯性。题目一定有一个解,在这种应试的框架下你甚至能靠揣测出题人的意图来获取解题思路。然而实战并不一定有解,你努力半个月也可能一个高危漏洞都找不出,在这种情况下我们需要思考开发者的失误,需要从业务全局的角度去找到突破点,而这恰恰就是实际工作最需要的经验积累和思维积淀。我不否认有大佬能把两种思维完美融合在一起,但对大多数人来说,解题思维给实际工作带来的更多是冲突而不是增益。

结果上的原罪:性价比低到不可接受

很多人在看完我对CTF过程的批判之后可能忍不住开喷了:都说应试教育烂,但学到的安全知识又不是假的,如果能拿到国赛一等奖可不比你说的护网挖洞有含金量多了?确实,不可否认CTF打得超好可以获得很丰厚的回报,但这真的容易吗?每年20支左右队伍一等奖,全国大学生竞争。可能你又说:不拿一等奖,二等奖三等奖也行啊,或者其他大比赛的奖,再次小奖总拿得到吧。那我再次笑嘻了,首先二等奖三等奖也不是那么好拿的,再说小奖,含金量完全比不上你拿到一张CNVD证书——HR一看你在xxxCTF得了奖,可能还得问你一下是谁办的~ 而且大比赛每年就一次,漏洞挖掘可是一整年都能尝试,下限实在好太多。至于上限……我没法评价哈。

普通人需要怎么考虑

以下雷点任踩一个我都极力劝退你专攻CTF

没能进校队

很多大比赛都限制一个学校的参赛队伍数量,后面的我不用说了…….

但是我还要补充一点,进校队受很多因素影响,有一些情况你是必进不去的:比如不缺你这个方向的同时你水平又很一般,而有些情况你又是必进的。在做选择之前务必把信息收集做到位,这真的是很重要的一个能力。

天赋不够高

我给个量化指标吧,半年内进不去任何大比赛的线下决赛,这条路可以放弃了

学校没氛围

关于这点,很多人可能会拿从0到1来反驳,我只能说这是面向普通人的劝退指南

被劝退之后,如何对待CTF

CTF是一种很好的入门安全的手段,通过对不同题型的练习,你可以针对性地学到或复习安全知识。但是在你有了足够的基础之后,请着手去挖洞实战吧!时间很宝贵,请把它用在最能提升自己的事情上。

最后的话

昨夜因为这个事纠结到两点才睡,这还是已经吃了褪黑素的情况,朋友们都在劝我,虽然嘴上说着不在意,真正放弃的时候还是挺难受的,感谢深夜还在安慰我的两位朋友。希望看到这篇文章的人都能远离这种痛苦的感受,通过深谋远虑的决策免于陷入人生的泥沼中。

如果你有不同观点,欢迎找我交流,就这样。