CTFvs挖漏洞

来劝退CTF（仅从个人角度出发对Web方向进行劝退）

 

与漏洞挖掘、护网相比

学安全重在实践，既然要劝退CTF，肯定也要给出更好的实践替代方案，在我看来除了纯纯的CTF天赋异禀选手，大部分人的更优解都是专注于漏洞挖掘这条赛道上，至于为什么，我将分几个方面来阐述。

1.过程上的弊病：不够贴合实际工作内容

CTF（Capture the Flag）说白了就是做题，就是游戏。我们都说做事要看重过程，少看结果，可选手们在CTF竞赛学到的安全知识中往往混合有解题套路的惯性，应试环境下固化思维。

题目一定有一个解，在这种应试的框架下你甚至能靠揣测出题人的意图来获取解题思路。然而实战并不一定有解，你努力半个月也可能一个高危漏洞都找不出，在这种情况下我们需要思考开发者的失误，需要从业务全局的角度去找到突破点，而这恰恰就是实际工作最需要的经验积累和思维积淀

2.结果上的原罪：性价比低到不可接受

不可否认CTF打得超好可以获得很丰厚的回报，但这真的容易吗？每年20支左右队伍一等奖，全国大学生竞争。可以拿小奖但毫无含金量没用，含金量完全比不上你拿到一张CNVD证书。而且大比赛每年就一次，漏洞挖掘可是一整年都能尝试，下限实在好太多。

 

 

被劝退之后，如何对待CTF

CTF是一种很好的入门安全的手段，通过对不同题型的练习，你可以针对性地学到或复习安全知识。但是在你有了足够的基础之后，请着手去挖洞实战吧！时间很宝贵，请把它用在最能提升自己的事情上