每年十二月,TryHackMe的“网络攻防降临节”都会围绕一个简单的理念将安全社区聚集在一起:通过动手实践学习新知识。
在节日季的每一天,活动都会发布一个适合初学者的挑战,帮助安全专业人员培养实战技能,并理解真实的攻击与防御是如何运作的。
我们很高兴能支持今年的活动。在过去的15年多里,我们见证了安全专业人员的成长方式:持续的练习、好奇心以及对基础知识的关注。“网络攻防降临节”很好地反映了这种方法——并非为了理论而理论,而是通过鼓励人们思考、测试和理解底层原理的挑战来实现。
作为奖品池的一部分,我们贡献了:
- 5份包含BurpAI功能的Burp Suite专业版许可
- 100个Burp Suite Web安全认证考试的免费参与名额
这些奖品为学习者提供了在活动结束后继续提升技能的机会,使用的正是全球88,000名从业者信赖的同款工具包。
注册参加“网络攻防降临节”
对应用安全尤为突出的挑战
“网络攻防降临节”涵盖了广泛的主题,但有几个挑战对任何对Web安全感兴趣或希望发展其Burp Suite工作流的人来说都特别相关。我们的主题包括:
| 挑战类别 | 描述 |
|---|---|
| Web攻击取证 | 理解恶意流量如何在应用程序中移动以及如何识别你通常在Burp Repeater等工具中检查或重放的模式的有效方法。 |
| IDOR漏洞利用 | 一个核心的Web应用程序漏洞,可直接受益于Burp Suite的请求操纵和比较工具。BurpAI可以帮助测试和验证那些原本需要更长时间才能探索的变体。 |
| 使用cURL进行漏洞利用 | 打好HTTP请求结构基础的好方法。这里的逻辑可以清晰地转化为在Burp内部构造和优化请求。 |
| Web日志分析 | 有助于理解服务器端行为如何映射到你在Burp Suite中看到的请求。对于任何想要更清晰了解应用程序行为的人来说,这都是一项宝贵的技能。 |
Burp Suite如何支持下一代
Burp Suite的意义在于处理测试中那些重复且容易出错的部分。这让你能将时间和专业知识投入到最重要的地方:发现、分析、创造性地解决问题。
借助BurpAI,你可以在不丧失控制力、安全性或信任的前提下,获得自动化的效率和速度。它可以帮助验证发现、构建更简洁的有效负载,并更快地产出可用的概念验证。
“100年前,木匠依赖手工工具。电动工具的引入并没有让那些木匠过时——而是让他们更快、更准确、更高效。今天,没有人会质疑木匠是否应该用电钻代替手摇钻;电动工具只是工作的一部分。这就是我们对AI在应用安全领域的未来展望。AI辅助将成为渗透测试人员工具包中普通、日常的一部分。它不会取代人类的专业知识,而是会增强它,帮助你更智能、更快速、更精确地工作。”——PortSwigger CEO, Dafydd Stuttard
对于任何参与“网络攻防降临节”的人来说,它都支持与活动构建原则相同的理念:在实践中学习,但将时间花在重要的部分。
“网络攻防降临节”是新人和经验丰富的从业者 alike 磨砺技能的绝佳机会。你可以在此处加入活动并跟随学习。