web-dev-qa-db-ja.com

楽しみと学習のために「キャプチャーザフラッグ」スタイルのコンテストを主催しますか?

数人の友人と私は、チーム/個人として攻撃および防御できる同一のOSを両方とも持っているある種のCTF競争を実行したいと考えています。

私はウェブを探していましたが、Metasploitableのような良いものやvulnhub.comでいくつかのものを見つけました

私は基本的に、これを実装するための最良の方法が何であるか、そして上記のような他のクールなグッズがあるかどうかについてのアドバイスを探しています。

このコンテストをどのように設定しますか?何を目標にしますか?システムを保護するために必要な時間と攻撃する必要がある時間はどれくらいですか?どんなアドバイスでも大歓迎です。私たちはコンピュータセキュリティの初心者であり(ただし、すべてITで機能します)、それを開始する方法と評価する方法についてのアイデアが必要です。

1
Ethereal

Metasploitableなどの問題は、これらは主にデモンストレーションを目的としたものであり、非常に多くの脆弱性が含まれているため、修正も容易ではないことです。また、CTFではVM全体を破壊したくないが、単一のサービスからトークンを取得するだけです。

ICTFを確認することをお勧めします。いくつかの サンプルサービス があります。皆さんがITに精通していて、楽しく教育的な目的でCTFを実行している場合は、独自の脆弱なサービスを作成することをお勧めします。シンプルなWebアプリまたはCLIアプリにすることができ、iCTFには広範な設計ガイドがあります。また、あらゆる種類のCTFの完全なフレームワークも備えています。

2
AdHominem