简要

定位

这是一个去中心化的网络安全训练资源(靶机)市场,这填补了现有平台(如HTB、TryHackMe)和自建环境之间的空白。对于网络安全人员,无论是红队还是蓝队,都需要一个安全且仿真的虚拟环境进行练习,通常被称为CTF挑战,或者靶场/靶机。英文名对应box,challenge ,cyber range等。

目前主流的操练方法有参与在线的CTF/靶场平台,例如Hack The Box与Tryhackme;有本地部署的docker和VM镜像;也有能迅速部署在云端的IaC,例如Terraform ;有各云平台的VMI模板服务,例如AMI。Hack The Box这类的平台能提供统一的练习,很方便但是不够私人定制化。部分定制化功能对企业开放,但这意味着私人定制的门槛很高。同时,HTB也接受靶机/challenge投稿,被接受了的作者可以根据投稿的难度,复杂度,质量等指标得到几百到1000美元及以上。

这个网站提供门槛更低,更自由的靶机配方与创意的交换。用户可以同时是买家,卖家,和自由浏览者。卖家可以出售他们的靶机,提供无限量购买(花钱即可购买),以及独占购买(例如企业买了用于当作技术面试挑战,因此不希望其他人得知答案)。买家即看到心仪的靶机从而支付。除此之外,有个特别的板块,用于提出定制化需求。卖家可以发布广告表示自己接受私人定制,买家可以发布广告悬赏满足自己需要的靶机(例如用于公司网络安全岗位的技术面试)

用户身份

买家卖家一体

网站获利途径

靶场形式

靶机属性


重要迭代

在线靶场制作的 SaaS

类似 Immersive Cyber Range的Snaplab,可以通过Web页面设计统一格式的模板。原理是通过绑定用户的AWS账号获得授权与权限,可以创建EC2实例,VPC,快照,保存AMI等。其中AMI是 Immersive Cyber Range通用的靶场模板,可以分享,授权用户访问,导入导出等。


可视化在线制作与编辑工具:这个迭代地核心与根本

结构与拓扑预览:网络,防火墙的拓扑

常见配置/漏洞素材库:安装与设置引导型的漏洞供学习与操练目的,例如配置有特定漏洞版本的Tomcat。

多个云平台的支持:AWS,Azure,GCP等。以后可以进行抽象,即用户不需要关注哪个平台,部署由后端负责。

不同类型的靶场框架模板:例如AD网络,Cloud安全,Web渗透等靶场

在线练习与培训的集成

尽管该网站的核心起初并不是类似HTB的在线练习,但可以在之后的迭代中作为顺带的功能,并发展与壮大,这可以很大幅度增加社区活跃和粘性,增加网站的业务上限。同时,也可以更加无缝地打通培训,企业合作(培训,定制,面试等),证书等相邻领域。

技术难点

审核与品质把控

支付

配方的访问控制

文件存储成本

流畅的虚拟机GUI访问(迭代后的需求)

机制与功能优化

注:以下特性并非全部是MVP,有些随着用户需求,开发预算等情况酌情增加。

质量控制机制
知识产权保护
社区功能增强
商业模式优化
技术实现
法律合规
差异化特色
用户体验优化

Revision #6
Created 3 July 2025 01:34:50 by winslow
Updated 3 July 2025 04:02:29 by winslow