// 面向 CTF 新手与综合题的统一总控 skill。保持原有两种主模式:1) 自动分流,2) 先头脑风暴再分流。分流目标既可以是 ctf-*,也可以在 Web/接口/漏洞验证阶段增强到 strix-*;适合不知道该用哪个 skill、想边做边学、又不想自己先判断何时切换到工具链或漏洞专项的场景;触发名:ctf-super-hub
面向中文用户和新手的统一入口,保持原有两种模式:1) 自动分流,2) 先头脑风暴再分流。分流目标既可以是 ctf-*,也可以在 Web/接口/漏洞验证阶段增强到 strix-*;适合不知道该用哪个 skill、想先理清题意、又不想自己先判断何时该切到工具链或漏洞专项的场景;触发名:ctf-beginner-hub
Strix JWT 与 OIDC 安全测试手册,覆盖令牌伪造、算法混淆与声明篡改;触发名:strix-authentication-jwt
给中文用户和新手用的 Strix Lite 统一入口:先判断该用哪一个 strix-* 工具或漏洞测试 skill,再给最小化起手步骤;适合在 Web 安全测试、工具链使用、漏洞验证时不知道先用哪个 Strix skill 的场景;触发名:strix-beginner-hub
Strix 功能级授权缺陷测试手册,覆盖操作级权限失效、管理功能越权与 API 操作绕过;触发名:strix-broken-function-level-authorization
Strix 业务逻辑漏洞测试手册,覆盖流程绕过、状态操控与领域约束破坏;触发名:strix-business-logic
Strix CSRF 测试手册,覆盖 token 绕过、SameSite、CORS 误配与状态变更滥用;触发名:strix-csrf
| name | CTF•超级总控 |
| description | 面向 CTF 新手与综合题的统一总控 skill。保持原有两种主模式:1) 自动分流,2) 先头脑风暴再分流。分流目标既可以是 ctf-*,也可以在 Web/接口/漏洞验证阶段增强到 strix-*;适合不知道该用哪个 skill、想边做边学、又不想自己先判断何时切换到工具链或漏洞专项的场景;触发名:ctf-super-hub |
这是整个仓库的唯一主入口。
核心原则:
strix-* 由总控来判断适合:
流程:
ctf-* 还是增强到 strix-*适合:
流程:
brainstorming 风格澄清题目与目标ctf-* 还是增强到 strix-*ctf-*下面这些情况优先分到原来的 CTF 专项:
ctf-reversectf-pwnctf-cryptoctf-forensicsctf-osintctf-malwarectf-miscctf-ai-mlctf-writeupstrix-*当题目已经明显进入 Web / 接口 / 漏洞验证 / 工具链推进 阶段时,不再只停留在 ctf-web 的大类判断,而是增强到 strix-*。
典型触发场景:
strix-httpxstrix-katanastrix-ffufstrix-nucleistrix-sqlmapstrix-sql-injectionstrix-xssstrix-ssrfstrix-rcestrix-authentication-jwtstrix-idorstrix-information-disclosurestrix-insecure-file-uploadsstrix-open-redirectstrix-csrfstrix-business-logicstrix-broken-function-level-authorizationstrix-path-traversal-lfi-rfistrix-quickstrix-standard不要一上来就把一切都扔给 Strix。
正确顺序:
ctf-*strix-*ctf-web 和 strix-* 的关系ctf-web:更像 CTF Web 总类打法strix-*:更像 Web 安全测试 / 工具使用 / 漏洞专项增强所以:
ctf-webstrix-*统一尽量按这个结构输出:
当满足下面任意一点时可以结束当前总控回合:
strix-*ctf-writeup