杭电的这场大赛 吸引了全国的谢耳朵

杭电的这场大赛 吸引了全国的谢耳朵

大家被关在一个断网的屋子里破解各种谜题，展开攻防大战

比赛现场

在网络安全的江湖中，黑客并不都是“黑”的。那些用黑客技术来“行侠仗义”， 测试网络和系统的性能的“侠客”，被称为“白帽黑客”。而他们之间的“武林大会”，就叫做CTF——“夺旗赛”。

在杭州电子科技大学，就有一项国内CTF圈人尽皆知，甚至走向国际舞台的高规格比赛——HCTF（杭电信息安全夺旗赛）。在最近刚刚结束的HCTF比赛中，吸引了1500支战队参赛，连老外都来报名。最后的决赛，来自清华、北大、国防科技大学等众多高校的黑客“大神”们齐聚一堂。

参赛战队都有着酷炫的名字。“联合Null队”、“Flappypig”(飞猪联合战队)、清华Redbud（紫荆花战队）……这些就像“武当”、“少林”一样，是国内CTF圈里响当当的名字。经过2天的决战，走出赛场的选手都觉得值了，清华紫荆花战队队长Briefly连呼“过瘾”，“题目出得好，逼出了最强的自己”。

顶级赛事的背后

是国内顶尖CTF战队

CTF比赛，通常是参赛团队之间通过攻防对抗、程序分析等形式，从主办方给出的比赛环境中得到字符串、图片等“旗帜”，相当于在夺宝，并将其提交给主办方，从而夺得分数，所以叫做“夺旗赛”。

想象一下，一群谢耳朵坐在电脑前，关在一个断网的屋子里破解各种谜题、展开攻防大战，这是什么样的场面？

HCTF就是这样的比赛，它的背后是一个很牛团体——Vidar（杭电信息安全协会）。Vidar指导老师、杭电计算机学院吴迎来老师告诉记者， “比赛质量高低，取决于出的题目水平有多高，杭电Vidar在任何一项国内权威CTF排名中都稳居前五，长期拥有不少于3个国内顶尖实战高手。”

在CTF圈，大家都以ID互称。本次HCTF主要出题者Explorer郑吉宏，就是Vidar历史上的重要人物之一。这个大四学生在国内CTF界可谓战绩彪炳，他曾经与清华、复旦、交大高手组成TeaDelivers联合战队，参加CTF界的“奥运会”——DEFCON，获得总决赛第五名。以他为主力的Vidar战队曾获得国内多项CTF大赛奖项。

有这样一位大神坐镇，让参赛的黑客们相当兴奋。“脑洞够大！” Flappypig战队成员说，“总决赛体验太棒了。”

为了让这些全国各地赶来参赛的黑客们兴奋，Vidar战队足足准备了半年。

到底出了怎样刁钻的题目？Vidar战队现任队长、杭电信息对抗技术专业大三学生Processor李政博笑言，“外行很难理解。”

他举了一个容易理解的例子——战队开发了一个小游戏，参赛者需要练到100级才能获得最终的“宝箱”。“选手可以不择手段达到100级，夺得答案。”李政博说，“这是一个非常开放性的题目。最后的比赛中，有战队是通过编写脚本来开金手指，刷怪练级，迅速地练到了100级。但与此同时，这个账号却被别的战队盗取了，盗取账号的战队也马上拿到了答案。”

由于杭电的HCTF含金量高，今年，这项赛事在国际权威CTF平台CTFTIME上正式亮相了，参加这项赛事的选手可以获得积分，进而在战队排名中提升名次。“从前我们挺低调的，现在开始冲向国际。只要我们保证赛事水平，比赛积分会不断提高。”吴迎来说，“而这次，已经有很多国外战队报名我们的比赛了。”

五百强企业都来抢人

刚毕业年薪20万起步

郑吉宏将于今年6月毕业。由于在网络安全实战上多年拼下的声誉，多家大公司实验室向他发出offer，这些公司提供的待遇都是年收入20万＋。

“凡是能在Vidar留下的学生，找工作的待遇都很好，”郑吉宏说，前些年社团里的核心成员大多在谷歌、阿里、华为等世界著名互联网科技公司工作，现在大多是网络安全高级工程师，年收入30万+很正常。

而李政博认为，队员被互联网科技公司“提前预定”，是因为“玩CTF有一套独特的筛选机制”。

李政博以自己为例，2015年9月入学，当时听说“进入杭电，不试试加入CTF，大学生活会留下遗憾的”。于是，当年大一新生有500余人报名参加Vidar社团，到寒假只剩下100人，寒假开始后，大家在家里等着线上放题，“实战题都是脑洞大开题，训练题基本不出现，有的同学一看题目就脑袋发木，一道题做不出，只能退出，”李政博说，2016年春节，正是新一周放新题日，他和后来成为社团骨干的同学拼命做题，“疯了一样，但一道道题做出来，攻克一个个难关，内心的激动和自豪也是最大的奖赏”。

2016年，李政博和坚持下来的5个小伙伴，算是跨过了CTF门槛，他们在郑吉宏等老队员带领下不停训练，参加国内外各种赛事，逐渐取得了好名次。

郑吉宏认为，打CTF比赛需要具备的核心能力包括编程、即时学习能力，其次还要有“耐得住寂寞”、“连续亢奋工作”的精神力。“它实质上就是考验真实情境下发现网络系统漏洞的能力”，编程技术水平每天都在进步，可谓一日千里，新技术新漏洞层出不穷，CTF题目的脑洞越开越大。

技术那么强大，战队的学生会不会私下去黑现实中的网站呢？

“有授权的情况下就会去。”李政博说，“有的企业会公开悬赏自己公司的漏洞。例如腾讯、阿里都有这样的平台。腾讯的TSRC平台就是如此，只要在上面提交腾讯公司的任何漏洞都会拿到奖金。”

Vidar战队从前的成员Airbasic，就在TSRC的英雄榜上长期占据TOP5的位置。如今，Airbasic还没毕业已经开了属于自己的公司。“Vidar这个名字，是北欧神话中的一个神，重建了世界。所以，我们战队的精神就是：‘自此而起、推陈出新！’”

责任编辑：郑佳