CTF или соревнования по безопасности Capture The Flag — отличный способ научиться взламывать системы. Это соревнования, в которых участники соревнуются, пытаясь найти «флаг», чтобы доказать, что они взломали систему.
Это один из лучших способов освоить определенные навыки безопасности, такие как бинарная эксплуатация, веб-эксплуатация или реверс-инжиниринг.
Существует два основных вида CTF: Jeopardy и Attack-Defense.
CTF в стиле Jeopardy — это, по сути, список хакерских задач, которые вы можете выполнить для получения флагов, приносящих определенное количество очков. Эти задачи включают в себя использование уязвимости или решение задачи программирования, чтобы украсть «флаг». Команды соревнуются, кто найдет больше флагов и наберет больше очков за отведенное время.
Хакерские испытания в CTF в стиле Jeopardy часто сортируются по уровням сложности, поэтому новички также могут легко принять в них участие. Часто есть разные наборы задач, из которых вы можете выбирать, от криптографии, реверс-инжиниринга, эксплуатаци двоичного кода, сети, программирования, форензики, сетевых задач до проблем, которые представляют собой сочетание некоторых или всех этих навыков.
Более продвинутой версией CTF является CTF в стиле Attack-Defense. В этих соревнованиях команды защищают свои серверы от атак и атакуют серверы противников, чтобы набрать очки. Эти CTF требуют больше навыков для участия в соревнованиях и почти всегда проводятся в командах.
Для новичков в СТF Jeopardy часто не требуются специальные технические навыки. В конце концов, это то, чему вы пытаетесь научиться! Тем не менее, хорошо иметь общее представление о том, как использовать командную строку, и иметь базовые знания в области программирования. Например, будет очень полезно изучить основы Python.
Курс от Hexlet
Курс на code-basics
Более продвинутые технические навыки можно получить, выполнив более простые задания или погуглив. Также полезно быть в курсе последних новостей в области безопасности, поскольку задачи CTF часто основаны на недавно обнаруженных уязвимостях.
Если вы хотите принять участие в CTF, загляните на CTFtime.org, чтобы найти список текущих и предстоящих турниров CTF.
Начать решать задачи, постепенно накапливая опыт. Необязательно уметь решать сразу все задачи. Можно выбрать одно направление и углубиться в изучение его аспектов.
Для старта можно начать с Beginner-friendly СTF:
YouTubers:
В СТF задачах по криптографии цель обычно состоит в том, чтобы взломать или клонировать криптографические объекты или алгоритмы для получения флага.
Статья Crypto for beginners(en)
Преезнтация по подбору паролей от команды 4hsl33p
Презентация по крипте от команды 4hsl33p
CTF задачи по форензике/криминалистики могут включать анализ формата файла, стеганографию, анализ дампа памяти или анализ захвата сетевых пакетов. Любая задача по изучению и обработке скрытой части информации из статических файлов данных (в отличие от исполняемых программ или удаленных серверов) может считаться задачей криминалистики (если только она не связана с криптографией)
Презентация по форензике от команды 4hsl33p
Презентация по стегонографии от команды 4hsl33p
Веб-задачи в соревнованиях CTF обычно включают использование HTTP (или аналогичных протоколов) и технологий, связанных с передачей и отображением информации через Интернет, таких как PHP, CMS (например, Django), SQL, Javascript и другие.
Презентация по вебу от команды 4hsl33p
Tools:
OSINT задачи нацелена на поиск информации из открытых источников
Реверс-инжиниринг в CTF обычно представляет собой процесс преобразования скомпилированной программы (машинный код, байт-код) в более удобный для человека формат.
Презентация по реверсу от команды 4hsl33p
Have fun 😉