# 简要

### **定位**

这是一个去中心化的网络安全训练资源（靶机）市场，这填补了现有平台（如HTB、TryHackMe）和自建环境之间的空白。对于网络安全人员，无论是红队还是蓝队，都需要一个安全且仿真的虚拟环境进行练习，通常被称为CTF挑战，或者靶场/靶机。英文名对应box，challenge ，cyber range等。

目前主流的操练方法有参与在线的CTF/靶场平台，例如Hack The Box与Tryhackme；有本地部署的docker和VM镜像；也有能迅速部署在云端的IaC，例如Terraform ；有各云平台的VMI模板服务，例如AMI。Hack The Box这类的平台能提供统一的练习，很方便但是不够私人定制化。部分定制化功能对企业开放，但这意味着私人定制的门槛很高。同时，HTB也接受靶机/challenge投稿，被接受了的作者可以根据投稿的难度，复杂度，质量等指标得到几百到1000美元及以上。

这个网站提供门槛更低，更自由的靶机配方与创意的交换。用户可以同时是买家，卖家，和自由浏览者。卖家可以出售他们的靶机，提供无限量购买（花钱即可购买），以及独占购买（例如企业买了用于当作技术面试挑战，因此不希望其他人得知答案）。买家即看到心仪的靶机从而支付。除此之外，有个特别的板块，用于提出定制化需求。卖家可以发布广告表示自己接受私人定制，买家可以发布广告悬赏满足自己需要的靶机（例如用于公司网络安全岗位的技术面试）

#### **用户身份**

买家卖家一体

##### **网站获利途径**

- 交易抽成：10-20%
- 买家和卖家发布广告的席位费：X美元一天。更加昂贵的置顶费。
- 会员订阅，会员免网页推广广告等其他权利

##### **靶场形式**

- 文档：记录制作靶场的步骤。对买家技术要求很高
- Docker：快速部署，但主要是linux靶机
- VM镜像：文件大，具有存储负担，但比较直接。导入到vmware产品中并稍加设置
- IaC文件：需要具备一定的云知识
- VMI等虚拟机模板：各个平台的虚拟机模板，例如AMI，非常方便在各自平台无缝启动

##### **靶机属性**

- 贩售方式：仅独占/仅不限量/无限制
- 分发形式：文档，Docker，VM镜像等如上所述
- 操作系统：Windows，Linux，安卓等
- 考核知识领域：例如AD，Cloud，移动安全等
- 靶机预览：架构图，网络拓扑，涉及知识点等
- 难度评级：官方与社区难度评价
- 浏览，收藏，购买数量
- 买家打分评价（星级）
- 买家评论评价
- 靶机攻略讨论板块
- Tag：更加自由，从操作系统到知识点都行

### **重要迭代**

##### **在线靶场制作的 SaaS**

类似 Immersive Cyber Range的Snaplab，可以通过Web页面设计统一格式的模板。原理是通过绑定用户的AWS账号获得授权与权限，可以创建EC2实例，VPC，快照，保存AMI等。其中AMI是 Immersive Cyber Range通用的靶场模板，可以分享，授权用户访问，导入导出等。

可视化在线制作与编辑工具：这个迭代地核心与根本

结构与拓扑预览：网络，防火墙的拓扑

常见配置/漏洞素材库：安装与设置引导型的漏洞供学习与操练目的，例如配置有特定漏洞版本的Tomcat。

多个云平台的支持：AWS，Azure，GCP等。以后可以进行抽象，即用户不需要关注哪个平台，部署由后端负责。

不同类型的靶场框架模板：例如AD网络，Cloud安全，Web渗透等靶场

##### **在线练习与培训的集成**

尽管该网站的核心起初并不是类似HTB的在线练习，但可以在之后的迭代中作为顺带的功能，并发展与壮大，这可以很大幅度增加社区活跃和粘性，增加网站的业务上限。同时，也可以更加无缝地打通培训，企业合作（培训，定制，面试等），证书等相邻领域。

### **技术难点**

##### **审核与品质把控**

- 确保靶机可以按照预期运行，以及被购买者练习。
- 不涉及盗版，侵权，不含有其他有害信息
- 品质与价格相符

##### **支付**

- 支付宝，微信等RMB支付
- Stripe，Paypal等支付
- 虚拟货币支付

##### **配方的访问控制**

- 内置链接vs外置链接(例如Google Drive)
- 与用户账号绑定的访问控制
- 尽可能确保购买者不向未购买者转卖，泄露配方以影响作者收入与销量

#### **文件存储成本**

- 尤其是VM镜像，文件会很大

##### **流畅的虚拟机GUI访问（迭代后的需求）**

- 在线制作靶场时需要测试主机
- 在线练习时，可能需要GUI访问

### **机制与功能优化**

**注：以下特性并非全部是MVP，有些随着用户需求，开发预算等情况酌情增加。**

##### **质量控制机制**

- **审核体系**：建立基础审核流程，确保靶机可用性和安全性
- **信誉系统**：卖家等级制度，根据销量、评价等因素评级
- **试用机制**：提供部分功能预览或演示视频（在靶机属性中）

##### **知识产权保护**

- **加密交付**：对靶场文件进行加密或访问控制，例如链接只有购买者可以访问。
- **水印技术**：在靶机中嵌入购买者信息
- **举报机制**：建立盗版举报和处理流程

##### **社区功能增强**

- **创作者工具**：提供靶机制作模板、检查清单
- **协作功能**：允许多个创作者合作开发复杂靶场
- **学习路径**：根据靶机难度和知识点规划学习路线

##### **商业模式优化**

- **订阅制**：月度/年度会员，享受折扣和独家内容
- **企业套餐**：批量授权、定制化服务、培训支持
- **认证体系**：完成特定靶机组合后颁发证书

##### **技术实现**

- **预览系统**：提供靶机截图、架构图、知识点大纲
- **自动化部署**：集成云平台API，实现一键部署
- **版本管理**：靶机更新历史，bug修复追踪

##### **法律合规**

- **内容审查**：确保靶机内容合法，避免真实漏洞利用代码
- **用户协议**：明确使用范围，禁止用于非法用途
- **DMCA流程**：建立版权投诉处理机制

##### **差异化特色**

- **靶机组合包**：主题化的靶机集合（如"Active Directory专题"）
- **竞赛模式**：定期举办基于平台靶机的CTF比赛
- **导师市场**：连接靶机创作者和学习者，提供辅导服务

##### **用户体验优化**

- **智能推荐与搜索**：基于用户水平和兴趣推荐合适的靶机，继承DAG的搜索
- **进度追踪**：记录用户的学习历程和成就
- **社交功能**：组队挑战、经验分享