728x90
반응형
내용 요약
카스퍼스키가 주최한 ‘카스퍼스키 CTF’는 2025년 8월 30–31일 온라인으로 진행된 국제 사이버보안 대회로, 브라질, 네덜란드, 러시아, 아랍에미리트, 한국의 5개 팀이 지역 리그에서 우승했습니다.
핵심 포인트
- 글로벌 규모: 5개국 팀이 참여해 최초로 온라인 형식으로 개최된 대회.
- 분양별 우승: 각 지역 리그에서 우승한 팀이 국제 최종 라운드 진출.
- 대회 구조: 다양한 보안 카테고리(웹, 암호학, 포렌식, 리버스 엔지니어링)로 구성된 실전형 과제 제공.
기술 세부 내용
1️⃣ Capture The Flag (CTF) 플랫폼
- 목표: 참가자들이 보안 과제를 해결하고 ‘플래그’를 획득해 점수화.
- 운영: 클라우드 기반 서버에서 각 과제(문제)를 배포, 자동 채점 및 실시간 랭킹 제공.
- 프로세스
- 과제 배포 → 문제에 대한 설명, 파일, 웹 URL 제공.
- 해킹 → 취약점 식별 및 플래그 획득.
- 제출 → 플래그를 플랫폼에 입력, 자동 채점.
- 점수 업데이트 → 실시간 랭킹 반영.
2️⃣ 웹 취약점 탐구 (Web Exploitation)
- 주요 기술: XSS, SQLi, CSRF, SSRF, 파일 업로드 취약점.
- 학습 단계
- 정보 수집 → URL, 쿠키, 입력 폼 파악.
- 입력 검증 테스트 → 특수문자, 스크립트 삽입 시도.
- 플래그 획득 → 세션 탈취, 데이터베이스 접근, 관리자 페이지 노출 등.
3️⃣ 바이너리 익스플로잇 (Binary Exploitation)
- 핵심 개념: 버퍼 오버플로우, ROP(리턴 오버플로우), format string, heap exploitation.
- 실전 흐름
- 정적 분석 → Ghidra/IDA로 함수 흐름 파악.
- 동적 분석 → GDB/OllyDbg로 실행 중 메모리 모니터링.
- 공격 시퀀스 설계 → 스택/힙 오버플로우 트리거, ROP 체인 구축.
- 플래그 확보 → 익스플로잇 실행 후 플래그 저장소(메모리/파일) 읽기.
이처럼 카스퍼스키 CTF는 실전 보안 역량을 한눈에 볼 수 있는 종합 플랫폼으로, 각 팀이 글로벌 무대에서 차별화된 전략을 선보였습니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=200244
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
[KRCERT]SAP 제품 보안 업데이트 권고 (0) | 2025.09.10 |
---|---|
[KRCERT]Argo CD 제품 보안 업데이트 권고 (0) | 2025.09.10 |
[보안뉴스]AI로 보이스피싱 잡는다...민관 ‘원팀’ 협의체 발족 (0) | 2025.09.10 |
[보안뉴스]개인정보위, 논란 증폭 KT-LG유플러스 조사 착수 (0) | 2025.09.10 |
[보안뉴스]양천구, ‘안전한 도시’ 위한 24시간 재난안전상황실 본격 가동 (0) | 2025.09.10 |