CTF: How To Start With Security Capture The Flag Competitions
Sumber: https://infosecwriteups.com/beginners-guide-to-ctfs-c934a0d7f5f9
Security CTF, atau kompetisi Capture The Flag (CTF), adalah cara yang bagus untuk mempelajari cara hacking. Itu adalah kompetisi di mana para pesaing bersaing untuk mencoba menemukan "bendera" untuk membuktikan bahwa mereka telah meng-hack sistem.
Mengapa CTF?
CTF adalah salah satu cara terbaik untuk mempelajari keterampilan security khusus, seperti eksploitasi biner, eksploitasi web, atau reverse engineering.
Dan karena Anda sering memainkan CTF dalam tim, CTF juga merupakan cara yang bagus untuk berteman dengan para kutu buku keamanan yang berpikiran sama. Ada banyak CTF tingkat perguruan tinggi di mana Anda dapat bersaing dengan sesama mahasiswa, dan Anda akan menemukan bahwa banyak praktisi keamanan profesional juga memainkan CTF.
Terakhir, CTF melatih kegigihan kemauan hacking Anda. Pengalaman CTF terjebak dalam tantangan, bertahan, dan akhirnya menemukan solusi memodelkan skenario peretasan di kehidupan nyata. CTFs mengajarkan Anda untuk tetap sabar dan optimis ketika Anda terjebak dalam hacking.
Tipe CTF
Ada dua (2) tipe utama CTF: Jeopardy-style dan Attack-Defense-style.
CTF Jeopardy-style pada dasarnya adalah daftar tantangan peretasan yang dapat Anda selesaikan untuk bendera yang bernilai sejumlah poin. Tantangan ini melibatkan eksploitasi kerentanan atau memecahkan tantangan pemrograman untuk mencuri “flag”. Tim / perorangan bersaing untuk melihat siapa yang dapat menemukan bendera paling banyak dan mendapatkan poin terbanyak di bawah batas waktu.
Tantangan peretasan dalam CTF gaya Jeopardy sering diurutkan berdasarkan tingkat kesulitan, sehingga pemula juga dapat berpartisipasi dengan mudah. Seringkali ada keahlian berbeda yang dapat Anda pilih, mulai dari cryptography, reversing, binary, web, programming, forensics, networking challenge hingga masalah yang merupakan campuran dari beberapa atau semua keterampilan ini.
Versi CTF yang lebih canggih adalah CTF Attack-Defense-style. Dalam kompetisi ini, tim mempertahankan server mereka sendiri dari serangan, dan menyerang server lawan untuk mencetak skor. CTF ini membutuhkan lebih banyak keterampilan untuk bersaing dan hampir selalu dilakukan dalam tim. Misalnya, annual DEFCON CTF final adalah Attack-and-Defense-style CTF.
Keterampilan CTF
Ada dua hal yang sangat penting yang harus Anda pelajari untuk mulai berpartisipasi di dunia CTF: menemukan tim dan belajar untuk mendapatkan keterampilan baru.
Cara menemukan tim
Pertama, bagaimana Anda menemukan tim untuk mengikuti kompetisi CTF?
Jika Anda seorang siswa sekolah menengah atau perguruan tinggi, lihat apakah sekolah Anda memiliki klub keamanan siber. Klub-klub ini sering kali telah membentuk tim CTF yang dapat Anda ikuti dan berkompetisi. Di sisi lain, jika sekolah Anda belum memiliki klub, cobalah memulainya dan kumpulkan orang-orang yang berpikiran sama! Sebelum Anda menyadarinya, Anda memiliki sekelompok rekan satu tim yang juga bersemangat meretas.
Jika Anda bukan anggota sekolah, media sosial adalah cara yang bagus untuk menemukan rekan satu tim. Twitter adalah salah satu cara terbaik untuk menjangkau orang yang ingin Anda ajak berkolaborasi. Forum hacking dan infosec discord channel juga bagus untuk ini.
Cara mendapatkan keterampilan teknis yang diperlukan
Untuk tantangan Jeopardy pemula, keterampilan teknis khusus seringkali tidak diperlukan. Lagi pula, itulah yang Anda coba pelajari! Namun, ada baiknya memiliki pemahaman dasar tentang cara menggunakan baris perintah dan memiliki pengetahuan pemrograman dasar.
Keterampilan teknis yang lebih maju dapat diperoleh dengan menyelesaikan tantangan yang lebih mudah atau dengan googling. Akan sangat membantu juga untuk tetap mengetahui berita keamanan terbaru, karena tantangan CTF sering didasarkan pada kerentanan yang baru ditemukan.
Daftar CTF Untuk Dimainkan Sekarang
Sebagian besar tantangan CTF berjalan dalam jangka waktu tertentu dan hanya tersedia untuk tim terdaftar. Namun, ada sejumlah besar CTF gaya Jeopardy "selalu online" yang dapat Anda mulai mainkan segera. Untuk banyak CTF ini, Anda tidak memerlukan tim dan dapat bermain tanpa batas waktu!
Web exploit CTF
- PentesterLab pentesterlab.com Learn Web Penetration Testing: The Right Way - Dengan PentesterLab PRO, Anda dapat belajar kapan saja, di mana saja. Mereke menyediakan kursus untuk membantu Anda memulai serta video . Pentesterlab adalah sumber yang cukup bagus untuk mulai mempelajari pengujian penetrasi web. Dalam tantangan mereka, Anda dapat membaca tentang detail kerentanan terlebih dahulu sebelum mengeksploitasinya secara langsung. Ada berbagai macam tantangan yang tersedia, mulai dari XSS dasar hingga kerentanan web yang baru ditemukan.
- Hacker101 CTF ctf.hacker101.com - The Hacker101 CTF adalah game yang dirancang untuk memungkinkan Anda belajar hacking di lingkungan yang aman dan bermanfaat. Hacker101 adalah free. Hacker101 CTF adalah sumber lain yang bagus. Ini memiliki daftar besar tantangan sederhana yang ditujukan untuk membangun keterampilan meretas web, dengan fokus pada kerentanan yang paling mungkin muncul dalam program bug bounty.
Reverse engineering CTFs
Jika Anda lebih menyukai reverse engineering, Anda dapat melihat situs ini.
- Crackmes crackmes.one - Ini adalah tempat sederhana di mana Anda dapat mengunduh crackme untuk meningkatkan keterampilan reverse engineering Anda. Crackme menghosting banyak broken program yang dapat Anda coba hack. Anda dapat menemukan program yang broken di berbagai platform: Windows, Unix, dan multi-platform. Sebagai tantangan yang menyenangkan, Anda bahkan dapat menulis program rentan Anda sendiri dan membaginya dengan orang lain!
- Mixed CTF overthewire.org -Wargames yang ditawarkan oleh komunitas OverTheWire dapat membantu Anda mempelajari dan mempraktikkan konsep keamanan dalam bentuk Wargames. OverTheWire adalah situs yang direkomendasikan untuk pemula. Di sinilah kita mulai memainkan tantangan CTF. Ini dimulai dengan mengajarkan dasar-dasar penggunaan baris perintah dan pemrograman. Kemudian Anda diberikan berbagai tantangan untuk dipilih: mulai dari web security, binary exploitation sampai reverse engineering..
- Hack This Site HackThisSite! www.hackthissite.org adalah sumber daya keamanan jaringan yang legal dan aman tempat pengguna menguji keterampilan peretasan mereka pada berbagai tantangan. “Retas Situs Ini!” juga merupakan salah satu yang cukup bagus. Ini sedikit seperti OverTheWire yang memiliki berbagai tantangan, mulai dari yang super mudah hingga yang mahir. Itu juga salah satu dari sedikit tempat di mana Anda dapat menemukan tantangan forensik dan steganografi jika itu yang Anda sukai.
Live CTF
CTFtime.org / Semua tentang CTF (Capture The Flag) - Capture The Flag, tim CTF, peringkat CTF, arsip CTF, CTF writeup. Terakhir, jika Anda ingin berpartisipasi dalam live CTF atau Attack-and Defense style CTF, lihat CTFtime.org untuk daftar acara CTF saat ini dan yang akan datang.
Etika CTF!
Sebelum Anda melanjutkan bermain CTF (dan bersenang-senang!), berikut adalah beberapa aturan suci untuk partisipasi CTF yang harus Anda ingat.
Pertama, sama sekali jangan memposting solusi dan flag secara online! Tujuan CTF adalah untuk membantu orang menjadi hacker yang lebih baik melalui perjuangan mental dalam memecahkan tantangan. Memberikan solusi berarti meniadakan kesempatan bagi orang lain untuk belajar.
Di sisi lain, Anda juga tidak boleh mencoba solusi google atau meminta bendera secara online. Anda dapat meminta bantuan, berdiskusi dengan orang lain, atau bahkan berkolaborasi dalam menyelesaikan tantangan, tetapi meminta atau mencari solusi di Google menghilangkan pengalaman. Bahkan jika Anda mencoba memahami solusinya, itu tidak sama dengan bekerja keras dan akhirnya menemukan jawabannya sendiri!
Selamat bersenang-senang!
CTF adalah hobi hebat yang pada akhirnya menjadikan Anda seorang hacker yang lebih baik. Faktanya, banyak hacker yang paling terampil berasal dari latar belakang CTF. Saya harap Anda juga akan menemukan pengalaman yang bermanfaat. Semoga beruntung dan bersenang-senanglah!