谢邀,不匿了

圈子就那么大,匿不匿没啥区别

CNSS成员

先谈谈现在圈内的py现象吧

其实py这个事呢,作为Web选手是体会最深的

单拿这次国赛来说,第二天的web1,和队友做了好久,最后侥幸拿了一血

然后收到多少条消息我就不说了

也和身边的dalao们交流了下,都表示差不多遇到一样的情况

其实蛮尴尬的,一般是熟人

别人问你呢,也不要flag,就问你要hint

但是web这种东西…关键点一说

做出来也只是时间问题

所以每次都是打太极,或者直接不回

又有几个人能拍著胸口说自己没py过呢

从这一点上来讲我没资格指责别人,我也应该反思

但是我想说的是多少要点脸吧

前几天DDCTF刚开始的时候我做了两个题,用的常用ID,好些不认识的人直接从群里找到我然后问我

身边的一个师傅说去年就有经验了,直接换了个ID打,这样就没人找他py

在国赛这种牵扯面更广的比赛上,py现象就更恐怖了

直接让帮做题的都出现了,因为国赛做出一两个题目就能帮社团申请到场地,我第一次知道py可以是这种理由,比赛能牵扯到这么多

所以不知道啥时候开始,py越来越严重了

甚至已经不仅仅是线上,连线下都开始出现py现象

Ctf本身是小众的东西

发现到今天参与的人越来越多,比赛越办越大,涉及的利益链条越来越多,自然是有很多很多的py的

那如何看待?

首先从反作弊来讲…其实反作弊只是拦住了一些人,因为反作弊真的很鸡肋,对于很多人来说,他需要的可能只是一个hint

每次被check的队伍不过是py大军中的非常小的一部分

夜影跟我抱怨说这次DDCTF实在是太多人py了

所以他a了re和安卓还被逼疯狂的做web和misc…(好了,夜影牛逼

DDCTF今年办第三届,本身我也是这个比赛的受益者,通过它去到了滴滴实习,所以我非常感谢有这样的比赛机会

但是如果每年都这么py下去,那这样的比赛肯定是不会继续办下去了,因为没有意义啊

我为什么来答这个题目,因为我也觉得蛮悲哀的

我加了大大小小不少的群,好多的群都是明目张胆的py,我也无能为力

在空间看到这个问题,有人说我难道要告诉学弟学妹们,努力学习不如py嘛?

然后我心里蛮难受的

但其实我觉得这事怪不到承办方,因为反作弊,真的很难弄,今年国赛甚至收到了什么十分钟内提交详细wp的电话,也可以看出承办方的努力

所以这事归根结底是国内圈子自己的问题

Ctf圈浮躁,这是我们不得不面对的

Ctf已经越来越脱离初衷,变成一个与奖金名誉挂钩的东西,所以自然不再纯粹

唉…其实写这么多也是因为自己难受

我不想看到我热爱的东西变成今天这样

只是希望大家都能树立一个正确的观念

很多人说这种现状下不py怎么可能

道理我也明白

但我还是希望ctf能越来越好,而不是像今天这样

希望大家都能通过比赛学到真东西,在其中收获更多的快乐

那有什么办法呢

身边师傅无奈的说圈子就这样,你不py你就打不下去

是啊,好多时候大家都无奈

只是希望更多的人站出来吧…至少看到群里有人py禁言警告一下?

当群里有人公然py的时候,有人站出来指责一下而不是看著他们在群里讨论

Py风气这么盛,大家都应该反思

希望大家再想到去py的时候应该想到

这是一件非常可耻的事情

希望在有人找你py的时候,能果断的拒绝

也希望我写的这么点东西,能多少有一点微薄的力量

半夜睡不著过来写回答.....

ctf比赛py这个事情也不是现在,老早就有了。第一次真的碰见垂直上分应该是4年前我大二的时候的事情了。当时年轻,还是很气愤的,大家一气之下也就有了HCTF反作弊的雏形。至于py多原因其实也很简单,打ctf有了切实的利益之后,自然就会有人动歪脑筋了,而且圈子大了,自然什么人都有。防止py只能从加大惩罚和反作弊这两点来做,可惜就目前来看都不太现实。我最初和学长一起设计HCTF的反作弊思路的时候就已经讨论过了,交换思路没办法防。至于作弊惩罚,无论是选手还是主办方,都挺无力的。

大环境就是这样,不过也没必要因为别人py就感觉自己吃了很大的亏一样。个人能力的提升才是正道,该是自己的还应该是自己的。把ctf当成线下单机游戏,只是自己做题玩的话,其实也是非常有趣的。毕竟ctf也只是游戏而已。

ctf终归只是hack game.可以作为业余爱好,也是学生或者起步阶段一个非常好的学习手段。不过终归和实战有些区别。即使rwctf这种直接现实0day都搬出来比赛,还是因为时间原因简化了许多步骤。比赛没法打一辈子,最终还是要退役去好好搞安全研究的。

所以对于线上赛py。作为选手,摆正心态,全力以赴就好,该是自己的没人抢的做。作为主办方,那就完善好反作弊系统,抓一个是一个。

突然发现自己公众号上的wp躺枪了,然后看了下,很是无语,也就是下面这张图

在试著给一件事作出评论之前,首先要做的就是充分的验证。

因为怕出现忘记回答问题而导致误解的情况,于是我又仔细回想了下,发现确实并没有人就这一块儿的内容向我提出疑问,所以我就奇怪了,现在说话都不用先求证都吗?

以下是他当时做题时的一些发言

以及刚刚的交流:

最后,希望大家在踊跃打击作弊的时候,记得「大胆假设,小心求证」。

另,我们队伍是Nju1L,不算多强,但也不算弱,这个题目,还真没有py的价值

真·最后:欢迎关注公众号呀,搜索「梅子酒的书札」即可

我是DDCTF官方人员,也是前CTF选手,就是因为看不过最近几年的(明目张胆的)py行为,才在能力控制范围内的DDCTF中不断设计改良反作弊手法,希望能够为真正认真比赛的选手带来本应的公平,为国内的CTF圈子带来那么一丝光明。

然而实际上还是太天真了,在国内py的风气已经成型的前提下,区区一个比赛反作弊严格是不可能带来什么改变的。因为作弊完全没有后果/惩罚,最大的后果不过于封号。如果你在我这个角度,就能看到各种各样py选手:有在别的群里明目张胆交换思路的、有认为我py我光荣的大不了明年加油再来、有ban后到处散布writeup泄愤的、有在writeup里说经高人指点做出题的、有装傻的、有在群里说主办方乱ban人的。总之就是根本不怕你ban的,对规则没有半点敬畏之心,完全不认为可耻。

因此,我希望选手们也能主动抵制py,能主动向主办方举报py行为,也希望其他比赛也能像我一样认真加强反作弊机制,并(可能的话)形成一个统一的有效的惩罚机制,这样才有希望抑制住日益猖獗的py行为。然而这个愿望可能由于种种原因没有办法轻易实现,比如说主办方通常还需要考虑时间、精力成本问题。另外,靠自动化反作弊机制能够抓到很多,但剩下的可疑的还是需要人工去看。单纯从你们比赛选手的角度看,是不知道人工调查一个case是需要花费大量时间寻找实锤的,而且为了确保正义,只能在有99%实锤的情况下ban人,而且这还不能保证完全没有误伤(如果完全没有可疑行为我可以确保绝对不会被ban,但现实状况却是,很多选手有意还是无意都会擦边,在此我也对可能已经误伤到的个别同学表示歉意,我已经控制在相当相当小的范围内了)。

总之,引用队友说的话,反作弊这件事就是吃力不讨好,一般作为主办方是没有足够动力去认认真真执行反作弊的,而且没有肉眼可见的收益。希望主办方能做好反作弊措施并不是简单能实现的事,反作弊本身就是涉及到很多方面的事情。

至于下面答案说的只打国外高质量比赛,很遗憾这的确就是目前现阶段想认真学习,hack for fun的同学的最优解,也是我们队多年以前就做出的判断。(当然这更多也有国内题质量低下的原因,这就是另一个XXX的问题了)

最后给大家一个数字,去年的DDCTF中ban的选手占了签到人数的1/5左右,然而我想这还是被抓到的冰山一角,肯定还有漏网之鱼。而且,随著旧反作弊手法的渐渐暴露,对抗也在不断升级中,反作弊手法也要不断创新改进,令人遗憾的是今年ban的比例远远不如去年(然而我不相信作弊人数比例会比去年低)。不过为了确保基本的公平,我也尽我最大的努力,继续人工审查可疑case并且尤其是获奖选手的。

为真正认真比赛的选手带来本应的公平而不丧失学习进步的动力,大概就是为什么每天每晚我都在一个个case分析的原因吧。看到大家对我们工作的认可还是挺欣慰的。希望大家今年DDCTF也玩得愉快,学了很多。

2019.8.27 更新:

ogeek线上赛(并未参赛 赛后吃瓜) 结束后,听说一些有趣的事情)

py 太low了,还是偷 flag 更 "geeker"一点? 半小时交n个flag偷到决赛圈也是秀。

结论:

以下是原回答:

谢邀。不匿。Vidar-Team 17级成员 第一次回答相关问题,各位师傅轻喷。

其他比赛的情况我就不再说了,这里说说 HCTF 的情况。从去年 HCTF 的情况来看,无论是线上还是线下,py 的情况都是存在的。得益于 HCTF 的反作弊机制以及我们时刻盯 log 的100个印度人(雾),还是处理了一些 py 的情况。

然而毕竟现在 py 的手法也在升级,动态flag/多flag 的反作弊机制对 py 思路/exp 的情况并不能很有效的解决,以及人工审查精力的有限,所以肯定还存在许多的 py 现象没有被抓到。我们所能尽量保证的,也只有是通过线上赛进入决赛的队伍中不存在作弊的队伍。

所以我们现在也在思考有没有更有效的反作弊机制,争取在今年举办的比赛中进行应用。师傅们如果有好的思路,非常希望能够指教。

不过话说回来,我们办比赛以及师傅们打比赛的初心想必都是互相交流技术,希望能赛有所获。所以题目的质量才是大家都关注和期待的,现在我们却不得不在反作弊上花费一部分精力,这还是很让人难过的。

推荐阅读:
相关文章