- 30 Nis 2012
- 2,728
- 13
Merhaba değerli TürkHackTeam üyeleri,
Capture The Flag (Türkçe:Bayrağı Yakala) bölümü nedir, nereden başlanılır, nasıl öğrenebilirim sorularınızın cevaplarını bu konuda bulabilirsiniz.
Capture The Flag Nedir ?
Capture The Flag Nedir ?
Neden Capture The Flag ?
Bilgisayar güvenliği, disiplinler arası eğitime yönelik bir meydan okumayı temsil eder. Bilgisayar güvenliği konuları, bilgisayar biliminin teorik yönlerinden Bilgi Teknolojisi yönetiminin uygulamalı yönlerine kadar uzanan alanlardan çizilir. Bu, bir bilgisayar güvenlik profesyoneli oluşturan temel kavramlardır.
Bu oluşum için bir yaklaşım ortaya çıkmıştır; "Capture The Flag". Saldırı odaklı CTF yarışmaları, profesyonel bilgisayar güvenliği çalışmalarının birçok yönünü objektif olarak ölçülebilir tek bir kısa egzersiz ile anlamaya çalışmaktadır. CTF Yarışmalarının ölçmek eğiliminde olduğu odak alanları güvenlik açığı keşfi, istismar oluşturma, araç oluşturma ve operasyonel tradecraft'tır.
Modern bir bilgisayar güvenlik uzmanı, bu alanlardan en az birinde ve ideal olarak hepsinde uzman olmalıdır. CTF yarışmalarında başarı, katılımcıların en az bir veya ideal olarak tüm bu alanlarda uzman olmasını talep eder. Bu nedenle, CTF'ye hazırlanmak ve rekabet etmek, bilgisayar bilimindeki ayrık disiplinleri bilgisayar güvenliğine odaklanmanın bir yolunu temsil eder.
CTF için Temel Bilgiler
Programlama
JavaScript: Bu, web sayfalarının çoğunda kullanılan dildir. Bunu anlamak, pentest için faydalıdır çünkü birçok bug aslında JS kodundan kaynaklanır. Bir çok CTF yarışmalarında ilk olarak bir JS kodundan kaynaklanan açığı bulmaya yönelik bir soru gelmektedir.
Python: Genel olarak, test sırasında çeşitli etkinlikleri otomatikleştirmek ve genel programlama için faydalı olmak için kullanılır. Zaman zaman şifre kırma algoritmaları içinde kullanılmaktadır.
SQL: Verilere erişmek ve işlemek için çoğu uygulama tarafından kullanılır. SQL bilgisi, kritik SQL Injection açıklarını keşfetmeye ve kullanmaya yardımcı olacaktır.
Ağ
Terminoloji kılavuzu: IP adresinden bağlantı noktasına kadar birçok terim duyacaksınız. Bu terimlere aşina olmanız CTF sırasında hangi yolda ilerleyeceğinizin farkında varıp size zaman kazandıracaktır.
PORT Numaraları: PORT numaralarının ve ilgili hizmetlerin yararlı bir listesi. Yine terminoloji kılavuzunda ki gibi hangi portlara ne tür saldırıların yapılacağını bilmek sizi zamandan kazandıracak bir bilgi olacaktır.
Linux
Kendi web sunucunuzu kurma: Kendi içinde güvenlikle ilgili olmamakla birlikte, bu size harika bir bilgisayar korsanı olmak için bilmeniz gereken birçok komut ve kavramı öğretecektir.
Sanal Makinede Kali Linux Kurulumu: Kali, birçok pentester tarafından kullanılan, bilgisayar korsanlığı odaklı bir Linux dağıtımıdır. Bu kılavuz, sanal bir makinede ayarlamanıza yardımcı olacaktır. Ek olarak; araçların çoğu diğer linux dağıtımlarına da kurulabilmektedir.
Komut Satırı Kılavuzu: Birçok komut satırı aracını bilgisayar korsanı olarak kullanmaya başlayacaksınız, bu nedenle yapısına ve kullanımına aşinalık değerlidir.
Çeşitli CTF Senaryoları İçin Yapılabilecekler
Aşağıda ki linkte bir çok CTF'de karşımıza çıkabilecek hazır senaryolar için hangi yolları izlemeniz gerektiğinizi öğrenmek adına bilgi paylaşımı yapılmaktadır.
CTF Senaryoları
CTF İçin Hazırlanma
Aşağıda ki adreslerde CTF'ye hazırlık için; test etme ve yeni kazanımlar elde etmek adına kendinizi sınayacağınız açıklı makine paylaşımları sunan siteler derlenmiştir.
Vulnhub
Hack The Box
Pentestit
CTF Etkinlikleri
Eğer bir CTF Yarışmasına katılmak isterseniz; Yılın her haftasında gerçekleşen kapsamlı bir CTF listesi için;
Türkiye'de Capture The Flag
Tüm Türkiye'yi kapsayan geniş çaplı CTF yarışmalarına bakacak olursak;
STM'nin (Savunma Teknolojileri Mühendislik ve Ticaret A.Ş.) ilk olarak 2015 yılında düzenlemeye başladığı ve her sene tekrar düzenlenen CTF yarışması bulunmaktadır.
CTF STM
Ulaştırma ve Altyapı Bakanlığı, BTK (Bilgi Teknolojileri ve İletişim Kurumu) ile USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından koordine edilen 2019 yılında 2.'si düzenlenen Siber Yıldız CTF yarışması bulunmaktadır.
Siber Yıldız
CTF Hazırlanmak İçin Kitap Önerisi
Uygulamalı Sızma Testleri Pentest Lab
Uygulamalarla Siber Güvenliğe Giriş
Capture The Flag (Türkçe:Bayrağı Yakala) bölümü nedir, nereden başlanılır, nasıl öğrenebilirim sorularınızın cevaplarını bu konuda bulabilirsiniz.
Capture The Flag Nedir ?
Capture The Flag Nedir ?
Neden Capture The Flag ?
Bilgisayar güvenliği, disiplinler arası eğitime yönelik bir meydan okumayı temsil eder. Bilgisayar güvenliği konuları, bilgisayar biliminin teorik yönlerinden Bilgi Teknolojisi yönetiminin uygulamalı yönlerine kadar uzanan alanlardan çizilir. Bu, bir bilgisayar güvenlik profesyoneli oluşturan temel kavramlardır.
Bu oluşum için bir yaklaşım ortaya çıkmıştır; "Capture The Flag". Saldırı odaklı CTF yarışmaları, profesyonel bilgisayar güvenliği çalışmalarının birçok yönünü objektif olarak ölçülebilir tek bir kısa egzersiz ile anlamaya çalışmaktadır. CTF Yarışmalarının ölçmek eğiliminde olduğu odak alanları güvenlik açığı keşfi, istismar oluşturma, araç oluşturma ve operasyonel tradecraft'tır.
Modern bir bilgisayar güvenlik uzmanı, bu alanlardan en az birinde ve ideal olarak hepsinde uzman olmalıdır. CTF yarışmalarında başarı, katılımcıların en az bir veya ideal olarak tüm bu alanlarda uzman olmasını talep eder. Bu nedenle, CTF'ye hazırlanmak ve rekabet etmek, bilgisayar bilimindeki ayrık disiplinleri bilgisayar güvenliğine odaklanmanın bir yolunu temsil eder.
CTF için Temel Bilgiler
Programlama
JavaScript: Bu, web sayfalarının çoğunda kullanılan dildir. Bunu anlamak, pentest için faydalıdır çünkü birçok bug aslında JS kodundan kaynaklanır. Bir çok CTF yarışmalarında ilk olarak bir JS kodundan kaynaklanan açığı bulmaya yönelik bir soru gelmektedir.
Python: Genel olarak, test sırasında çeşitli etkinlikleri otomatikleştirmek ve genel programlama için faydalı olmak için kullanılır. Zaman zaman şifre kırma algoritmaları içinde kullanılmaktadır.
SQL: Verilere erişmek ve işlemek için çoğu uygulama tarafından kullanılır. SQL bilgisi, kritik SQL Injection açıklarını keşfetmeye ve kullanmaya yardımcı olacaktır.
Ağ
Terminoloji kılavuzu: IP adresinden bağlantı noktasına kadar birçok terim duyacaksınız. Bu terimlere aşina olmanız CTF sırasında hangi yolda ilerleyeceğinizin farkında varıp size zaman kazandıracaktır.
PORT Numaraları: PORT numaralarının ve ilgili hizmetlerin yararlı bir listesi. Yine terminoloji kılavuzunda ki gibi hangi portlara ne tür saldırıların yapılacağını bilmek sizi zamandan kazandıracak bir bilgi olacaktır.
Linux
Kendi web sunucunuzu kurma: Kendi içinde güvenlikle ilgili olmamakla birlikte, bu size harika bir bilgisayar korsanı olmak için bilmeniz gereken birçok komut ve kavramı öğretecektir.
Sanal Makinede Kali Linux Kurulumu: Kali, birçok pentester tarafından kullanılan, bilgisayar korsanlığı odaklı bir Linux dağıtımıdır. Bu kılavuz, sanal bir makinede ayarlamanıza yardımcı olacaktır. Ek olarak; araçların çoğu diğer linux dağıtımlarına da kurulabilmektedir.
Komut Satırı Kılavuzu: Birçok komut satırı aracını bilgisayar korsanı olarak kullanmaya başlayacaksınız, bu nedenle yapısına ve kullanımına aşinalık değerlidir.
Çeşitli CTF Senaryoları İçin Yapılabilecekler
Aşağıda ki linkte bir çok CTF'de karşımıza çıkabilecek hazır senaryolar için hangi yolları izlemeniz gerektiğinizi öğrenmek adına bilgi paylaşımı yapılmaktadır.
CTF Senaryoları
CTF İçin Hazırlanma
Aşağıda ki adreslerde CTF'ye hazırlık için; test etme ve yeni kazanımlar elde etmek adına kendinizi sınayacağınız açıklı makine paylaşımları sunan siteler derlenmiştir.
Vulnhub
Hack The Box
Pentestit
CTF Etkinlikleri
Eğer bir CTF Yarışmasına katılmak isterseniz; Yılın her haftasında gerçekleşen kapsamlı bir CTF listesi için;
Türkiye'de Capture The Flag
Tüm Türkiye'yi kapsayan geniş çaplı CTF yarışmalarına bakacak olursak;
STM'nin (Savunma Teknolojileri Mühendislik ve Ticaret A.Ş.) ilk olarak 2015 yılında düzenlemeye başladığı ve her sene tekrar düzenlenen CTF yarışması bulunmaktadır.
CTF STM
Ulaştırma ve Altyapı Bakanlığı, BTK (Bilgi Teknolojileri ve İletişim Kurumu) ile USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından koordine edilen 2019 yılında 2.'si düzenlenen Siber Yıldız CTF yarışması bulunmaktadır.
Siber Yıldız
CTF Hazırlanmak İçin Kitap Önerisi
Uygulamalı Sızma Testleri Pentest Lab
Uygulamalarla Siber Güvenliğe Giriş
Son düzenleme: