序——安全競賽的魅力與價值

作為從事網絡安全研究和教學多年的教師，也作為中國CTF競賽早期的參與者和組織者，我很榮幸接受Nu1L戰隊隊長付浩的邀請，為這本難得的CTF競賽參考書撰寫序。

網絡空間安全是一個獨具特色的學科，研究的是人與人之間在網絡空間里思維和智力的較量，有很強的對抗性和實踐性。不同于抽象的理論研究，網絡空間安全的實踐性要求我們不僅在實驗室，也要在現實的互聯網上證實技術的可行性；同時，由于其激烈的對抗性，常規的方法往往早已成為低垂的果實，成功的攻擊和防范都必須創新、另辟蹊徑，也往往引人入勝。我在學生時代就被網絡安全的魅力所吸引，至今從事網絡安全研究和教學已二十多年。正是對安全研究的興趣驅動著我去探索各種新問題和新方法，至今熱情不減。

CTF（Capture The Flag）競賽完美地體現著網絡空間安全這種智力的對抗性和技術的實踐性。CTF競賽于20世紀90年代起源于美國，如今風靡全球，成為全世界網絡安全愛好者學習和訓練的重要活動。CTF競賽覆蓋網絡安全、系統安全和密碼學等領域，涉及協議分析、軟件逆向、漏洞挖掘與利用、密碼分析知識點。特別是攻防模式的CTF競賽給參賽者一種類似實戰的體驗，參賽者要發現并利用對手的安全漏洞，同時防范對手的攻擊，對自己的知識和技能是全面鍛煉。同時，CTF競賽對學習網絡空間安全學科的學生或技術人員是一種非常好的學習和訓練方式。

CTF競賽以其獨特的魅力吸引了一批批安全從業者自發地投身其中。我和我的學生在十多年前開始涉足世界CTF競賽，以清華大學網絡與信息安全實驗室（NISL）為基地，組建了中國最早的CTF戰隊之一——藍蓮花（Blue-Lotus），后來有多所高校的骨干成員加入，曾經多次入圍DEF CON等國際著名賽事的決賽，并與0ops戰隊一起取得了DEFCON第二名的成績。后來，藍蓮花許多隊員在各自的高校成立了獨立的戰隊，他們成為后來中國風起云涌的CTF戰隊的星星之火。如今，早期的藍蓮花隊員和很多大學的CTF戰隊核心成員已成長為網絡安全領域的精英，在各行各業中發揮了中流砥柱的作用。

正是意識到CTF在實戰性安全人才培養中的重要性，我和同事諸葛建偉及藍蓮花戰隊的隊員們從2014年開始組織了國內一系列的CTF競賽和后來的全國CTF聯賽XCTF，這些競賽為后來中國如火如荼的CTF競賽培養了“群眾”基礎。近年來的“網鼎杯”“護網杯”等國家級安全賽事動輒上萬支隊伍、幾萬名隊員參賽，銀行、通信等不少行業也在組織自己行業內部的CTF競賽，教育部的大學生信息安全競賽也增加了CTF形式的“創新實踐能力”比賽。很多學生在自己報考研究生或找工作的簡歷上寫上各種CTF賽事的成績。可見，CTF作為安全人才培養的一種重要形式已經得到了學術界和工業界的認可。

經歷過近年來CTF浪潮各種競賽的磨練，Nu1L戰隊已經成為長期活躍在CTF國內外賽場上的一只老牌勁旅，在國內外許多重要的賽事中頻頻取得佳績。并不像電競游戲那種炫酷的對抗游戲，CTF競賽培養的不是游戲人才，而是現實世界的精英。像付浩一樣，Nu1L戰隊的許多核心成員已經成長為安全行業頂尖的專業人才，成為我國網絡空間安全領域堅強的衛士。除此之外，Nu1L戰隊還組織了N1CTF、空指針等一系列的CTF競賽，為國內外的CTF愛好者提供了一個交流的平臺，為CTF社區的發展做出了重要貢獻。

本書為當前眾多CTF入門的參賽者提供了一份不可多得的參考教材。由于CTF覆蓋知識點龐雜，而且近年來賽事題目越來越難，對于CTF入門的選手來說很難把握，市面上系統地介紹CTF的書目前并不多見。本書的內容不僅覆蓋了傳統CTF線上、線下賽常見的知識領域，如Web攻防、逆向工程、漏洞利用、密碼分析等，還增加了AWD攻防賽、區塊鏈等新的內容。特別是本書最后加入了Nu1L戰隊的成長史和Nu1L兩位隊員的故事，融入了付浩本人對CTF競賽的期望和情懷，其中關于CTF聯合戰隊管理、如何組織競賽、如何吸收新鮮血液等內容，都是獨一無二的。這些內容融合了Nu1L整個團隊多年的知識、經驗和感情。我相信，本書不僅對CTF愛好者學習技術有重要幫助，也對CTF戰隊的組織管理者提供了難得的參考。

最后感謝Nu1L戰隊為CTF和安全技術愛好者貢獻的這本精彩的參考書，相信它對安全技術及CTF競賽成績的提高都會很有幫助。

清華大學

2020年8月