前言

CTF比賽已成為備受全球網絡安全界青睞的競技形式之一，每年都吸引大量熱衷于網絡安全技術的學員參加。但是，不少初學者并未對CTF比賽形成明確的認識，難以找到適宜的入門途徑。本書的目標就是幫助初學者把握CTF比賽的解題技巧，提升自身的網絡安全能力。

在CTF比賽中，Web安全主題備受青睞，被視為初學者最佳的入門領域之一。因此，本書將針對Web安全領域展開深入討論，幫助讀者快速掌握Web安全技術。

PicoCTF比賽是全球網絡安全界極受歡迎的一門賽事，PicoCTF為初學者提供了良好的學習平臺。本書將圍繞PicoCTF比賽的歷年真題來講解Web安全的主要知識點。

全書共分11章，內容分別如下。

第1章先簡單介紹了PicoCTF賽事及其特點，然后詳細介紹了如何注冊PicoCTF、如何對題目進行分類、如何解答題目，以及如何使用PicoCTF提供的Linux答題環境。

第2章主要介紹了Web類題目的解題工具，包括Web應用程序的工作流程、瀏覽器、Curl、Burp Suite、CyberChef、AI問答工具和AI編程工具。尤其是AI問答工具和AI編程工具可以高效地幫助答題者避開知識盲區，提高解題效率。

第3章主要介紹了用于前端開發的HTML標簽語言的特點和語法，以及HTML在CTF比賽中的出題點。該章還提供了一個簡單的HTML代碼示例，并介紹了如何使用AI工具編寫程序來答題。

第4章主要介紹了用于前端開發的CSS的特點和語法，并以PicoCTF真題為例講解了CSS在CTF比賽中的出題側重點。

第5章主要介紹了用于前端開發的JavaScript的發展歷程和使用基礎、WebAssembly的使用基礎及工作原理，以及常用的Base64編碼。本章還通過實例講解了如何使用AI構建程序，在HTML、CSS和JavaScript文件中查找Flag。最后，該章還介紹了WebAssembly的安全性、工作原理及其與JavaScript的區別。

第6章主要介紹了HTTP的發展歷程和消息結構。該章還通過PicoCTF比賽的3道真題詳細介紹了Burp Suite的使用方法。

第7章主要介紹了Cookie技術，包括Cookie的組成部分、查看方式，Cookie在CTF比賽中的常見知識點、答題者在CTF比賽中所涉及的基本技能、出題者會如何利用Cookie，以及歷年出現的Cookie相關題目等內容。

第8章介紹了Web服務器目錄、URL中的相對路徑與絕對路徑，以及robots的工作原理與格式。

第9章主要介紹了SQL注入漏洞的原理、分類、防范措施及其他一些相關的SQL注入題目。該章講解了兩個系列（共6道）SQL注入漏洞方面的PicoCTF真題，還通過兩道PicoCTF真題介紹了SQLite和PostgreSQL。

第10章主要介紹了正則表達式的基本理論及其實際應用。此外，該章還提供了一個PicoCTF真題“MatchTheRegex”，用以展示應用正則表達式解決實際問題的過程。

第11章主要介紹了以JWT為代表的跨域認證。此外，該章還通過3道PicoCTF真題介紹了在Web應用中可能存在的一些認證缺陷。