CTF比赛在网络安全领域有着较高的影响力，已经成为全球网络安全圈广为流行的赛事。本书旨在帮助初学者把握CTF比赛的解题技巧，提升自身的网络安全能力。PicoCTF为初学者提供了良好的学习平台，本书基于PicoCTF真题进行讲解，主要围绕Web安全主题展开介绍。

本书共11章内容，不仅带领读者从头了解PicoCTF比赛，而且介绍了一系列高效的解题工具。此外，本书结合Web前端（涉及HTML、CSS、JavaScript）、Web通信（涉及HTTP、Cookie）、Web部署、Web数据库、Web数据处理、Web认证等主题全面展示了PicoCTF比赛的特色和参赛技巧。

本书面向有志于参加CTF比赛的读者，旨在帮助大家快速入门。无论是企事业单位和科研机构里从事网络安全工作的专业人员，还是对CTF比赛感兴趣的学生（包括但不限于研究生、本科生、专科生、职业院校学生、高中生），以及各行各业的网络安全爱好者，都可以将本书作为CTF比赛的入门指南。

1.简洁易懂

本书由资深的网络安全老师编写，内容深入浅出，适合 CTF 比赛的入门级选手。

2.学练结合

本书将知识点和CTF真题紧密地结合，帮助读者理清解题思路，掌握解题技巧。

3.资源加持

配套提供源代码和相关的解题演练视频，进一步降低读者的学习门槛。

4.AI强助力

本书在案例讲解中引入了AI工具，帮助读者打开思路，快速提高解题效率。

李华峰，信息安全顾问和自由撰稿人，FreeBuf 安全智库指导专家顾问，长期从事网络安全渗透测试方面的研究，在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的教学和实践经验。

第 1章 走进PicoCTF比赛 1

1.1 CTF赛事 1

1.2 PicoCTF比赛的特点 2

1.3 PicoCTF实用指南 3

1.3.1 注册PicoCTF 4

1.3.2 PicoCTF的题目分类 5

1.3.3 PicoCTF的题目 6

1.3.4 PicoCTF的Linux答题环境 8

1.3.5 提交Flag 9

1.4 小结 10

第 2章 Web类题目的解题工具 12

2.1 Web应用程序的工作流程 12

2.2 浏览器 17

2.3 Curl 19

2.4 Burp Suite 21

2.5 CyberChef 23

2.6 AI问答工具 24

2.7 AI编程工具 28

2.8 小结 32

第3章 Web前端之HTML 33

3.1 HTML的发展 33

3.2 HTML是一种标记语言 34

3.3 HTML中的注释 36

3.4 HTML中的标签属性 40

3.5 常见的HTML CTF出题点 41

3.6 小结 42

第4章 Web前端之CSS 44

4.1 CSS的发展 44

4.2 CSS的使用基础 45

4.2.1 CSS规则 45

4.2.2 插入CSS 46

4.3 CSS相关题目 48

4.4 小结 52

第5章 Web前端之JavaScript 53

5.1 JavaScript的发展 53

5.2 JavaScript的使用基础 54

5.3 WebAssembly应用基础 60

5.4 WebAssembly的工作原理 64

5.5 常用的Base64编码 70

5.6 小结 72

第6章 Web通信之HTTP 73

6.1 HTTP的发展 73

6.2 HTTP的消息结构 74

6.2.1 HTTP请求方法 75

6.2.2 HTTP请求头部 79

6.3 小结 88

第7章 Web通信之Cookie 89

7.1 Cookie简介 89

7.1.1 为什么需要Cookie 90

7.1.2 Cookie的组成部分 90

7.1.3 Cookie的查看方式 91

7.2 Cookie在CTF比赛中的常见知识点 92

7.3 答题者在CTF比赛中的基本技能 93

7.3.1 查看当前页面的Cookie 93

7.3.2 使用指定的Cookie访问页面 94

7.4 出题者会如何利用Cookie 95

7.4.1 考查答题者能否找出Cookie 96

7.4.2 考查答题者能否修改Cookie 97

7.5 历年出现的Cookie相关题目 99

7.6 小结 118

第8章 Web部署之服务器目录 119

8.1 Web服务器目录 119

8.1.1 文件目录 119

8.1.2 Web服务器目录 120

8.1.3 URL与Web服务器目录 121

8.1.4 URL中的相对路径与绝对路径 122

8.2 robots的原理与格式 125

8.3 小结 130

第9章 Web数据库之SQL注入 132

9.1 关系型数据库 132

9.2 结构化查询语言（SQL） 133

9.3 SQL注入漏洞 134

9.4 PostgreSQL 155

9.5 其他SQL注入相关真题 158

9.6 小结 163

第 10章 Web数据处理之正则表达式 164

10.1 正则表达式的基本理论 164

10.2 正则表达式的实际应用 164

10.3 小结 168

第 11章 Web认证之绕过技术 169

11.1 跨域认证 169

11.2 JWT的具体实现 170

11.3 小结 188