- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Penetration Testing VS CTF:
İlk olarak, doğrudan CTF'ye atlamadan önce, sizlerin Sızma testine derinlemesine bakmanızı istiyorum.
Sızma testinde, Dahili Pentesting ve Harici Pentesting vardır.
Dahili Pentesting'de (GreyBox testi) bir Ağın içine yerleştirileceğiz ve ağa biraz erişebileceğiz, Harici pentesting'de ise hedef IP / Alan adı dışında hedef hakkında herhangi bir özel Bilgi bilmeden tıpkı bir Yabancı (BlackBox Testi) gibi hackleyeceğiz. OSINT'e bu noktadan başlayacağız ve yolumuzu kesmek için elimizden geldiğince çok Bilgi toplayacağız.
Pentesting, CTF'lerde de kullandığımız aşamalardan oluşur, ancak buradaki en büyük fark şudur:
CTF'leri oynamak becerilerinizi geliştirecektir, buna hiç şüphe yok, ancak Doğrudan onlara atlamadan önce, Becerilerinizi kullanmaya hazır hale getirmelisiniz. CTF'ler Sızma testinin Oyunlaştırılmış versiyonudur, CTF'lerde ve Gerçek Dünya Sızma Testlerinde kullandığınız araçlar çoğunlukla aynıdır, ancak Senaryolar Farklıdır. CTF'ler, herhangi birinin kırması için özel olarak zor tasarlanmıştır ve bu, Gerçek Dünya Sızma Testinde her zaman böyle olmayabilir.
Bir Araba Örneği alalım, Önce neyin ne olduğunu ve nasıl çalıştırılacağını öğrenirsiniz, sonra öğrendiklerinizi mesai içinde uygulayarak bilginizi kullanmayı öğrenirsiniz, sonra Arabayı sorunsuz sürmeyi öğrenirsiniz. Tebrikler Pentesting'i öğrendiniz. Anlamadınız mı? Açıklayayım.
İlk olarak Pentesting'in Temelleri ile başlarsınız ve Programlama, İşletim Sistemleri, Ağ, Linux ve Pentesting gibi gerekli tüm Bireysel modülleri öğrenirsiniz ve pratik yapmak için Laboratuvarlarda veya bazı Makinelerde gerçekleştirirsiniz ve bu süreçte daha fazlasını öğrenirsiniz. Bir noktada, her şeyi değil ama bir şeyi bildiğinizi anlayacaksınız.
Ancak CTF'ler söz konusu olduğunda, bu bir Yarış Arabası Yarışmasıdır. platformlarda bulunan Hackerlar Profesyonel yarışçılardır, Arabanın püf noktalarını ve ipuçlarını bilirler (Umarım Mantıklıdır). makineleri iyi tanırlar ve hangi durumda hangi taramayı gerçekleştireceklerini ve o Belirli bağlantı noktasında hangi numaralandırma tekniğini gerçekleştireceklerini ve nerede bir Enjeksiyon saldırısı gerçekleştireceklerini ve Çıktıyı nerede arayacaklarını bilirler. Bu fark yaratır.
Kimseyi biraz deneyim kazanmak için CTF oynamaktan caydırmıyorum, ancak bunun Becerileriniz üzerinde biraz ustalık gerektirdiğini bilin diyorum. ve bu platformlar, işlerinde biraz Ustalık sahibi olan ve ne yaptıklarını bilen insanlar için inşa edilmiştir. HacktheBox veya Proving Grounds gibi bir Platform olsun.
OvertheWire ve TryHackMe gibi diğer bazı web siteleri istisnadır, yeni başlayanlara uygun oldukları için onlarla kendi hızınızda öğrenebilirsiniz (Çoğunlukla). Hazır buraya kadar gelmişken PwnlabCTF 'e göz atmayı unutmayın!
Bug Bounty:
Bug Bounty, Web Uygulama Güvenliği ile ilgilidir, size belirli bir Domain aralığı verilecek ve kendi Güvenlik Açıkları veya Mantıksal hatalar Kontrol Listenize ve bu belirli hedefte aramak istediğiniz şeylere sahip olacaksınız, örneğin Komut satırı Enjeksiyonları, CSRF, SSRF, Bilgi İfşası vb. ve Şirketin veya Kuruluşun güvenliğini tehlikeye atan herhangi bir hata bulduğunuzda, bunları bildirirsiniz.
Peki CTF'ye atlamak için en iyi zaman nedir?
Kimse sizin kadar iyi bir yargıç değildir, bu yüzden tüm gün içeriği öğrenmekten yorulduğunuzda ve pratik becerilerinizin ne kadar iyi olduğunu kontrol etmek istediğinizde, TryHackMe ve HacktheBox gibi Platformlarda bazı makineleri deneyebilirsiniz. Bazı Walkthrough'ları izlemekten çekinmeyin, Benzer içeriği keşfedin, Exploit kodlarını okuyun ve hata ayıklayın, işlerin nasıl çalıştığını öğrenin ... bu süreci tekrar tekrar tekrarlayın ...