Difference between revisions of "CTF: How To Start With Security Capture The Flag Competitions"

Sumber: https://infosecwriteups.com/beginners-guide-to-ctfs-c934a0d7f5f9

Security CTF, atau kompetisi Capture The Flag (CTF), adalah cara yang bagus untuk mempelajari cara hacking. Itu adalah kompetisi di mana para pesaing bersaing untuk mencoba menemukan "bendera" untuk membuktikan bahwa mereka telah meng-hack sistem.

Mengapa CTF?

CTF adalah salah satu cara terbaik untuk mempelajari keterampilan security khusus, seperti eksploitasi biner, eksploitasi web, atau reverse engineering.

Dan karena Anda sering memainkan CTF dalam tim, CTF juga merupakan cara yang bagus untuk berteman dengan para kutu buku keamanan yang berpikiran sama. Ada banyak CTF tingkat perguruan tinggi di mana Anda dapat bersaing dengan sesama mahasiswa, dan Anda akan menemukan bahwa banyak praktisi keamanan profesional juga memainkan CTF.

Terakhir, CTF melatih kegigihan kemauan hacking Anda. Pengalaman CTF terjebak dalam tantangan, bertahan, dan akhirnya menemukan solusi memodelkan skenario peretasan di kehidupan nyata. CTFs mengajarkan Anda untuk tetap sabar dan optimis ketika Anda terjebak dalam hacking.

Tipe CTF

Ada dua (2) tipe utama CTF: Jeopardy-style dan Attack-Defense-style.

CTF Jeopardy-style pada dasarnya adalah daftar tantangan peretasan yang dapat Anda selesaikan untuk bendera yang bernilai sejumlah poin. Tantangan ini melibatkan eksploitasi kerentanan atau memecahkan tantangan pemrograman untuk mencuri “flag”. Tim / perorangan bersaing untuk melihat siapa yang dapat menemukan bendera paling banyak dan mendapatkan poin terbanyak di bawah batas waktu.

Tantangan peretasan dalam CTF gaya Jeopardy sering diurutkan berdasarkan tingkat kesulitan, sehingga pemula juga dapat berpartisipasi dengan mudah. Seringkali ada keahlian berbeda yang dapat Anda pilih, mulai dari cryptography, reversing, binary, web, programming, forensics, networking challenge hingga masalah yang merupakan campuran dari beberapa atau semua keterampilan ini.

Versi CTF yang lebih canggih adalah CTF Attack-Defense-style. Dalam kompetisi ini, tim mempertahankan server mereka sendiri dari serangan, dan menyerang server lawan untuk mencetak skor. CTF ini membutuhkan lebih banyak keterampilan untuk bersaing dan hampir selalu dilakukan dalam tim. Misalnya, annual DEFCON CTF final adalah Attack-and-Defense-style CTF.

Keterampilan CTF

Ada dua hal yang sangat penting yang harus Anda pelajari untuk mulai berpartisipasi di dunia CTF: menemukan tim dan belajar untuk mendapatkan keterampilan baru.

Cara menemukan tim

Pertama, bagaimana Anda menemukan tim untuk mengikuti kompetisi CTF?

Jika Anda seorang siswa sekolah menengah atau perguruan tinggi, lihat apakah sekolah Anda memiliki klub keamanan siber. Klub-klub ini sering kali telah membentuk tim CTF yang dapat Anda ikuti dan berkompetisi. Di sisi lain, jika sekolah Anda belum memiliki klub, cobalah memulainya dan kumpulkan orang-orang yang berpikiran sama! Sebelum Anda menyadarinya, Anda memiliki sekelompok rekan satu tim yang juga bersemangat meretas.

Jika Anda bukan anggota sekolah, media sosial adalah cara yang bagus untuk menemukan rekan satu tim. Twitter adalah salah satu cara terbaik untuk menjangkau orang yang ingin Anda ajak berkolaborasi. Forum hacking dan infosec discord channel juga bagus untuk ini.

Cara mendapatkan keterampilan teknis yang diperlukan

Untuk tantangan Jeopardy pemula, keterampilan teknis khusus seringkali tidak diperlukan. Lagi pula, itulah yang Anda coba pelajari! Namun, ada baiknya memiliki pemahaman dasar tentang cara menggunakan baris perintah dan memiliki pengetahuan pemrograman dasar.

Keterampilan teknis yang lebih maju dapat diperoleh dengan menyelesaikan tantangan yang lebih mudah atau dengan googling. Akan sangat membantu juga untuk tetap mengetahui berita keamanan terbaru, karena tantangan CTF sering didasarkan pada kerentanan yang baru ditemukan.

Daftar CTF Untuk Dimainkan Sekarang

Sebagian besar tantangan CTF berjalan dalam jangka waktu tertentu dan hanya tersedia untuk tim terdaftar. Namun, ada sejumlah besar CTF gaya Jeopardy "selalu online" yang dapat Anda mulai mainkan segera. Untuk banyak CTF ini, Anda tidak memerlukan tim dan dapat bermain tanpa batas waktu!

Web exploit CTF

• PentesterLab pentesterlab.com Learn Web Penetration Testing: The Right Way - Dengan PentesterLab PRO, Anda dapat belajar kapan saja, di mana saja. Mereke menyediakan kursus untuk membantu Anda memulai serta video . Pentesterlab adalah sumber yang cukup bagus untuk mulai mempelajari pengujian penetrasi web. Dalam tantangan mereka, Anda dapat membaca tentang detail kerentanan terlebih dahulu sebelum mengeksploitasinya secara langsung. Ada berbagai macam tantangan yang tersedia, mulai dari XSS dasar hingga kerentanan web yang baru ditemukan.

• Hacker101 CTF ctf.hacker101.com - The Hacker101 CTF adalah game yang dirancang untuk memungkinkan Anda belajar hacking di lingkungan yang aman dan bermanfaat. Hacker101 adalah free. Hacker101 CTF adalah sumber lain yang bagus. Ini memiliki daftar besar tantangan sederhana yang ditujukan untuk membangun keterampilan meretas web, dengan fokus pada kerentanan yang paling mungkin muncul dalam program bug bounty.

Reverse engineering CTFs

If reverse engineering is more your vibe, you can check out this site.

• Crackmes

This is a simple place where you can download crackmes to improve your reverse engineering skills. If you want to… crackmes.one

Crackme hosts many broken programs that you can try to hack. You can find broken programs on a variety of platforms: Windows, Unix, and multi-platforms. As a fun challenge, you can even write your own vulnerable program and share it with others!

• Mixed CTFs

Wargames The wargames offered by the OverTheWire community can help you to learn and practice security concepts in the form of… overthewire.org

OverTheWire is the site that I recommend most beginners to start with. It is where I started playing CTF challenges. It starts with teaching the basics of using the command-line and programming. Then you are given a wide range of challenges to choose from: from web security, binary exploitation to reverse engineering.

• Hack This Site

HackThisSite! is a legal and safe network security resource where users test their hacking skills on various challenges… www.hackthissite.org

“Hack This Site!” is also a pretty good one. It is a little like OverTheWire in that is has a variety of challenges, ranging from super easy to advanced. It is also one of the few places where you can find forensics and steganography challenges if that’s what you are into.

Live CTFs

CTFtime.org / All about CTF (Capture The Flag) Capture The Flag, CTF teams, CTF ratings, CTF archive, CTF writeups ctftime.org

Finally, if you want to participate in a live CTF or an Attack-and Defense style CTF, check out CTFtime.org for a list of current and upcoming CTF events.

CTF Etiquette!

Before you go on to playing CTFs (and having the time of your life!), here are a few sacred rules of CTF participation that you should keep in mind.

First, absolutely do not post solutions and flags online! The purpose of CTFs is to help people become better hackers through the mental struggle of solving challenges. Giving solutions away is denying the chance for others to learn.

On the other hand, you also should not try to google solutions or ask for flags online. You can ask for help, discuss with others or even collaborate in solving a challenge, but asking or googling for solutions takes away from the experience. Even if you try to understand the solution, it is not the same as working hard to and finally finding the answer yourself!

Have Fun!

CTFs are a great hobby that ultimately makes you a better hacker. In fact, many of the most skilled hackers came from CTF backgrounds. I hope you’ll find the experience rewarding as well. Best of luck and have fun!

Referensi

• https://infosecwriteups.com/beginners-guide-to-ctfs-c934a0d7f5f9