初次接觸奪旗賽 (Capture The Flag) 比賽項目,發覺其與真實的滲透測試 (Penetration Testing) 相差甚遠。以奪旗賽練習網站中的網頁 (Web) 題目為例,奪旗賽題目會提供提示以供下一關的鑰匙,或者以這個提示來完成這條題目。但現實環境的網站滲透測試是沒有提示的,滲透測試員是要用自己的方法去盡量搜集這個網站的資訊來作進一步行動。再者,奪旗賽的題目大多是脫離現實,而且十分狡猾 (tricky)。
我個人認為如果一個專業的滲透測試員長期在奪旗賽題目中打滾浸淫,有可能影響其專業的思維和滲透測試的方式,並且在其專業知識上並沒有實際的獲益,但是閒來作為遊戲玩樂又未賞不可的。
至於奪旗賽中另一個比賽項目攻防戰,我仍未曾有機會接觸到,所以不會妄下判斷。因機緣巧合,最近在一個很爛的奪旗賽練習網站 (beta.ctflearn.com) 玩了一些我懂的題目,並且在一萬二千幾名玩家中排行第廿七 (二零一八年八月九日止)。在玩的過程中並未有學習到新鮮事物的感覺,非常可惜。
最後,我個人認為,如果要在滲透測試知識和技術上有實際的獲益,我想最有效的方法是參加懸賞計劃 (Bug Bounty) 了。如果可以發現漏洞並獲得獎金當然是一件樂事,但如果未能取得獎金都可以在一個合法的平台上練習,因為懸賞計劃中的項目全部都是真實的個案。
Samiux
OSCE OSCP OSWP
