简要

定位

这是一个去中心化的网络安全训练资源（靶机）市场，这填补了现有平台（如HTB、TryHackMe）和自建环境之间的空白。对于网络安全人员，无论是红队还是蓝队，都需要一个安全且仿真的虚拟环境进行练习，通常被称为CTF挑战，或者靶场/靶机。英文名对应box，challenge ，cyber range等。

目前主流的操练方法有参与在线的CTF/靶场平台，例如Hack The Box与Tryhackme；有本地部署的docker和VM镜像；也有能迅速部署在云端的IaC，例如Terraform ；有各云平台的VMI模板服务，例如AMI。Hack The Box这类的平台能提供统一的练习，很方便但是不够私人定制化。部分定制化功能对企业开放，但这意味着私人定制的门槛很高。同时，HTB也接受靶机/challenge投稿，被接受了的作者可以根据投稿的难度，复杂度，质量等指标得到几百到1000美元及以上。

这个网站提供门槛更低，更自由的靶机配方与创意的交换。用户可以同时是买家，卖家，和自由浏览者。卖家可以出售他们的靶机，提供无限量购买（花钱即可购买），以及独占购买（例如企业买了用于当作技术面试挑战，因此不希望其他人得知答案）。买家即看到心仪的靶机从而支付。除此之外，有个特别的板块，用于提出定制化需求。卖家可以发布广告表示自己接受私人定制，买家可以发布广告悬赏满足自己需要的靶机（例如用于公司网络安全岗位的技术面试）

用户身份

买家卖家一体

网站获利途径

• 交易抽成：10-20%
• 买家和卖家发布广告的席位费：X美元一天。更加昂贵的置顶费。
• 会员订阅，会员免网页推广广告等其他权利

靶场形式

• 文档：记录制作靶场的步骤。对买家技术要求很高
• Docker：快速部署，但主要是linux靶机
• VM镜像：文件大，具有存储负担，但比较直接。导入到vmware产品中并稍加设置
• IaC文件：需要具备一定的云知识
• VMI等虚拟机模板：各个平台的虚拟机模板，例如AMI，非常方便在各自平台无缝启动

靶机属性

• 贩售方式：仅独占/仅不限量/无限制
• 分发形式：文档，Docker，VM镜像等如上所述
• 操作系统：Windows，Linux，安卓等
• 考核知识领域：例如AD，Cloud，移动安全等
• 靶机预览：架构图，网络拓扑，涉及知识点等
• 难度评级：官方与社区难度评价
• 浏览，收藏，购买数量
• 买家打分评价（星级）
• 买家评论评价
• 靶机攻略讨论板块
• Tag：更加自由，从操作系统到知识点都行

重要迭代

在线靶场制作的 SaaS

类似 Immersive Cyber Range的Snaplab，可以通过Web页面设计统一格式的模板。原理是通过绑定用户的AWS账号获得授权与权限，可以创建EC2实例，VPC，快照，保存AMI等。其中AMI是 Immersive Cyber Range通用的靶场模板，可以分享，授权用户访问，导入导出等。

可视化在线制作与编辑工具：这个迭代地核心与根本

结构与拓扑预览：网络，防火墙的拓扑

常见配置/漏洞素材库：安装与设置引导型的漏洞供学习与操练目的，例如配置有特定漏洞版本的Tomcat。

多个云平台的支持：AWS，Azure，GCP等。以后可以进行抽象，即用户不需要关注哪个平台，部署由后端负责。

不同类型的靶场框架模板：例如AD网络，Cloud安全，Web渗透等靶场

在线练习与培训的集成

尽管该网站的核心起初并不是类似HTB的在线练习，但可以在之后的迭代中作为顺带的功能，并发展与壮大，这可以很大幅度增加社区活跃和粘性，增加网站的业务上限。同时，也可以更加无缝地打通培训，企业合作（培训，定制，面试等），证书等相邻领域。

技术难点

审核与品质把控

• 确保靶机可以按照预期运行，以及被购买者练习。
• 不涉及盗版，侵权，不含有其他有害信息
• 品质与价格相符

支付

• 支付宝，微信等RMB支付
• Stripe，Paypal等支付
• 虚拟货币支付

配方的访问控制

• 内置链接vs外置链接(例如Google Drive)
• 与用户账号绑定的访问控制
• 尽可能确保购买者不向未购买者转卖，泄露配方以影响作者收入与销量

文件存储成本

• 尤其是VM镜像，文件会很大

流畅的虚拟机GUI访问（迭代后的需求）

• 在线制作靶场时需要测试主机
• 在线练习时，可能需要GUI访问

机制与功能优化

注：以下特性并非全部是MVP，有些随着用户需求，开发预算等情况酌情增加。

质量控制机制

• 审核体系：建立基础审核流程，确保靶机可用性和安全性
• 信誉系统：卖家等级制度，根据销量、评价等因素评级
• 试用机制：提供部分功能预览或演示视频（在靶机属性中）

知识产权保护

• 加密交付：对靶场文件进行加密或访问控制，例如链接只有购买者可以访问。
• 水印技术：在靶机中嵌入购买者信息
• 举报机制：建立盗版举报和处理流程

社区功能增强

• 创作者工具：提供靶机制作模板、检查清单
• 协作功能：允许多个创作者合作开发复杂靶场
• 学习路径：根据靶机难度和知识点规划学习路线

商业模式优化

• 订阅制：月度/年度会员，享受折扣和独家内容
• 企业套餐：批量授权、定制化服务、培训支持
• 认证体系：完成特定靶机组合后颁发证书

技术实现

• 预览系统：提供靶机截图、架构图、知识点大纲
• 自动化部署：集成云平台API，实现一键部署
• 版本管理：靶机更新历史，bug修复追踪

法律合规

• 内容审查：确保靶机内容合法，避免真实漏洞利用代码
• 用户协议：明确使用范围，禁止用于非法用途
• DMCA流程：建立版权投诉处理机制

差异化特色

• 靶机组合包：主题化的靶机集合（如"Active Directory专题"）
• 竞赛模式：定期举办基于平台靶机的CTF比赛
• 导师市场：连接靶机创作者和学习者，提供辅导服务

用户体验优化

• 智能推荐与搜索：基于用户水平和兴趣推荐合适的靶机，继承DAG的搜索
• 进度追踪：记录用户的学习历程和成就
• 社交功能：组队挑战、经验分享