CTF Nedir? Yeni Başlayanlar İçin Siber Güvenliğe Giriş Rehberi

Ben de ilk başladığımda aynı noktadaydım. Teori okuyordum, videolar izliyordum ama bir şey eksikti: pratik. İşte tam bu noktada CTF (Capture The Flag) ile tanıştım ve olay tamamen değişti.

CTF Nedir?

CTF (Capture The Flag), siber güvenlik alanında pratik yapmak ve teknik becerileri geliştirmek için oluşturulmuş yarışmalardır.

Amaç basit:Sistemdeki zafiyeti bul Exploit et “flag” adı verilen gizli veriyi ele geçir

Bazı senaryolarda sadece flag bulmak yeterliyken, bazı CTF’lerde hedef:

• Sisteme sızmak

• Yetki yükseltmek

• Root/admin erişimi almak

Yani işin özü: gerçek dünya saldırılarını simüle ediyorsun.

CTF Türleri

Jeopardy (En Yaygın Format)

CTF dünyasına girenlerin %90’ı buradan başlar.

• Sorular kategorilere ayrılır

• Her soru bağımsızdır

• İstediğin sorudan başlayabilirsin

• Zorluk arttıkça puan artar

Online yarışmaların çoğu bu formatta.

Attack & Defense (Gerçek Hayat Simülasyonu)

Burada olay ciddileşiyor.

• Kendi sistemini koruyorsun

• Aynı anda rakiplere saldırıyorsun

Yani:

SOC + Red Team karması gibi düşünebilirsin.

King of the Hill

Amaç: Sistemi ele geçirmek En uzun süre sende tutmak

Kontrol sende olduğu sürece puan kazanırsın. Saf rekabet.

Mixed (Karma)

Jeopardy + Attack/Defense birleşimi. Genelde büyük ve ciddi yarışmalarda olur.

CTF Kategorileri

Siber güvenlik tek bir alan değil, o yüzden CTF’ler de kategorilere ayrılır.

Web Security

En popüler başlangıç noktası.

• SQL Injection

• XSS

• Authentication bypass

Forensics

Dijital dedektiflik.

• Log analizi

• Trafik inceleme

• Olay analizi

Cryptography

Şifre çözme işleri.

• Encoding/decoding

• Şifre kırma

Reversing

Programın içini parçalama.

• Binary analiz

• Assembly

• Programın ne yaptığını çözme

Pwn (Binary Exploitation)

Burası ileri seviye.

• Buffer overflow

• Memory exploitation

Gerçek exploit geliştirme burada öğrenilir.

OSINT

Açık kaynak istihbaratı.

• Sosyal medya

• Domain analizi

• Metadata

Steganography

Veriyi gizleme sanatı.

• Görsellerin içine veri saklama

• Gizli mesajları bulma

CTF’de Kullanılan Araçlar

Gerçekçi olalım, bu iş tools’suz gitmez.

• Burp Suite → Web testleri

• Wireshark → Network analizi

• Ghidra → Reverse engineering

• pwntools → Exploit geliştirme

• CyberChef → “Her şeyi çözen araç”

CTF Stratejileri (Bu Kısım Altın Değerinde)

Şu hatayı çok kişi yapıyor: saatlerce tek soruya takılmak.

Doğru yaklaşım:

• Kolay sorularla başla → momentum kazan

• Takıldığında bırak → başka soruya geç

• Writeup oku → öğrenmek kaybetmek değildir

• Not al → aynı hatayı tekrar etme

Ve en önemlisi: Takım çalışması = hız

CTF Neden Önemli?

Çünkü:

• Gerçek zafiyetleri öğrenirsin

• CV’ne direkt katkı sağlar

• Bug bounty ve pentest için temel oluşturur

• SOC tarafında analiz bakış açısı kazandırır

Kısaca:

Popüler CTF Yarışmaları

• DEFCON CTF

• Google CTF

• Hack The Box Apocalypse

• STM CTF

• HackIstanbul CTF

CTF Platformları

Başlamak için en iyi yerler:

• Hack The Box

• TryHackMe

• PicoCTF (başlangıç için mükemmel)

• OverTheWire

• Root-Me

• CTFtime

Yeni Başlayanlara Net Tavsiyeler

Şeker kaplamıyorum:

• İlk başta zorlanacaksın (normal)

• Her şeyi anlamayacaksın (normal)

• Saatlerce çözüm bulamayacaksın (çok normal)

Ama devam edersen:

Bir noktada “click” ediyor.

Son Söz

CTF çözmek seni direkt hacker yapmaz.Ama hacker olmanın en hızlı yollarından biridir.

Eğer gerçekten bu alana girmek istiyorsan:

• İzleme

• Okuma

• Bekleme

Direkt CTF çözmeye başla.