一、Writeup的概念
Writeup,即“攻略”、“攻击性演练”,指模拟攻击者行为,对系统、应用或网络进行漏洞攻击检测、漏洞利用和风险评估,以提升安全防御能力和完善安全措施。在实际应用中,writeup主要是以CTF比赛为主要场景,通过编写题目writeup,来介绍漏洞利用、缺陷分析、数据分析以及安全审计等方面的知识和经验。
二、Writeup php双写替换为空格
在CTF或其他安全领域中,有时会遇到过滤输入的情况,php双写替换为空格就是常见的绕过过滤的技巧之一。下面是将php双写替换为空格的代码示例:
<?php
$input = preg_replace("/((?i)php|(?-i)[a-z][a-z][a-z])(://|:)/i","$1 ",$_GET["input"]);
?>
在这个示例里,用一个正则表达式识别“php”或者以三个小写字母开头然后后面跟“://”或者“:”开头的字符串,然后将它们都替换成一个空格。
三、Write down
Write down指的是,当你在CTF比赛中遇到一个新的问题或解决方法时,你需要把它记录下来,便于后续的学习和使用。下面是写down的一些建议:
1、尽可能详细的写下你的思考过程,这对你以后回顾复习时非常有帮助;
2、在解决问题时,记录下你的思路和解决方法,以便于复盘你的过程;
3、在CTF比赛中,遇到好的工具和技术也记得及时记录下来。
四、Write
Write是writeup的核心,是指撰写题目writeup的过程。通过写writeup,有助于理清知识架构,将思考和实践经验梳理成体系,形成自己的安全思考方式。下面是写writeup的一些建议:
1、在写writeup之前,你需要仔细地审查题目,最好把题目中所有信息都记录下来;
2、在写过程中,要注意格式的规范和排版的整齐,容易阅读的writeup可以为你的得分加分;
3、在整篇文章中,最好体现出你的创新性和批判性思维,引出你的解题思路或者解题方法。
五、Write-up的应用
Write-up除了可以在比赛中展示你的安全技术和经验,还可以在实际应用中用于:
1、安全漏洞评估:write-up的过程中,集成了漏洞探测、分析漏洞、利用漏洞等环节,能够对被测对象的安全水平进行全面评估;
2、安全技术培训:write-up中内容涉及到缺陷分析、安全审计、数据分析等多个安全领域的知识,能够作为安全技术培训的主要教材;
3、安全策略制定:通过write-up可以发现安全漏洞和问题所在,有助于组织制定相应的安全策略和应对措施。
