Yarışmaların düzenlenme amacı teorik bilgiye sahip katılımcıların bilgilerini pratiğe dökme imkanı tanımaktır. Kullanılan sistemlerde günlük hayatta karşılaşılan güvenlik açıklıkları yerleştirilmiş olup, katılımcılar bu konuda tecrübe kazanmış olur ayrıca saldırgan bakış açısı kazanmak açısından da çok fayda sağlar. Yarışmacıların belirlenen süre boyunca hedef sistemleri ele geçirmeye çalışmak veya gizlenen dosyaları bulmaya çalışmak gibi amaçları vardır ( bayrağı yakalamaya çalışırlar). CTF yarışmalarında Jeopardy ve Attack-Defense şeklinde 2 farklı tür vardır.
Jeopardy : Verilen güvenlik soruları çözülürek bayraklar yakalanmaya çalışılır. Genellikle her bir adım birbiriyle bağlantılı şekildedir. Yani bir seviye çözüldüğünde ikinci seviye açılmış olur, çözmeden diğerine geçilemez.
Attack-Defense : Bu türde ise gruplar rakiplerinin sistemini ele geçirmeye çalışırken kendi sistemlerini de savunmak durumundadırlar.
CTF yarışmaları genellikle güvenlik konferans veya etkinlikleri kapsamında düzenlenir. Ayrıca online olarak düzenleyen web siteleri de vardır. Başlıca kategoriler :
- web
- kriptografi
- forensics,
- network
- exploiting
- reversing
- steganography (bilgi gizleme)
- binary analiz
- mobil
- Bilgi toplama
- Port tarama ve IPS atlatma
- Network analizi ve network saldırıları
- Kablosuz ağlara sızmak, WPA/WPA-2 kırılması
- Paket analizi
- TCP/IP düzeyinde saldırılar
- Brute force, Parola saldırıları, wordlistler
- Dns saldırıları
- Zafiyet tespiti (Vulnerability Discovery)
- Exploit geliştirme ve kullanma
- Süreç içerisinde ihtiyaç duyulan toolkit'lerin geliştirilmesi
- Güvenlik duvarı, IDS, IPS, WAF gibi sistemleri aşmak
- PicoCTF ve PlaidCTF CMU tarafından düzenlenir
- HSCTF lise öğrencileri için düzenlenir
- Ghost in the Shellcode (GitS)
- CSAW CTF , NYU-Poly tarafından düzenlenir
- UCSB iCTF
- Defcon CTF
- Encrypted Login https://wildwildweb.fluxfingers.net:1411/
- PayTV https://ctf.fluxfingers.net:1316/
- ImageUpload https://wildwildweb.fluxfingers.net:1421/
- Robots Exclusion Commitee https://ctf.fluxfingers.net:1315/
CTF yarışmalarına hazırlanırken eski yarışmaları incelemek, soruları çözmek ve benzer mantıkla hazırlanmış uygulamalarda pratik yapmak gerekir. Eski yarışmaları inceleyebileceğimiz platformardan birisi yukarıda bahsedildiği gibi CTF Time sayfasıdır.
Ayrıca yarışmayı düzenleyenler veya yarışmacılar tarafından yazılan çözüm yolları (Walkthrought – write up) takip edilebilir. Ctf.rip ve Lse.epita.fr sayfaları bunun güzel örnekleridir. Önemli arşivlerden biriside seneler halinde oluşturulmuş Github Write-ups'dır.
Pratik için hazırlanan ortamlar veya uygulamarda CTF'e benzemektedir, ancak tek bir tarihte değildir, sürekli devam eder. Bu türlere Wargame ismi verilmektedir. Bu tarz pratik ortamlarına örnek olarak :
- Micro Corruption
- SmashTheStack
- OverTheWire
- Exploit Exercises
- Ctfs.me
- Ctf365.com
- http://pwnable.kr/
- https://microcorruption.com/login
- http://reversing.kr/
- http://hax.tor.hu/
- https://w3challs.com/
- https://pwn0.com/
- http://ringzer0team.com/
- http://www.hellboundhackers.org/
- http://www.overthewire.org/wargames/
- http://counterhack.net/Counter_Hack/Challenges.html
- http://www.hackthissite.org/
- http://vulnhub.com/
- http://ctf.infosecinstitute.com/
Bu makale İstanbul Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi stajyerimiz Cemal Türkoğlu tarafından geliştirilmiştir.