简要
我在想能设计一个功能性网站作为副业。定位:这是一个关于去中心化的网络安全领域ctf/训练资源(靶机)市场,这填补了现有平台(如HTB、TryHackMe)和自建环境之间的配方/创意的交易网站空白。 对于网络安全人员,无论是红队还是蓝队,都需要一个安全且仿真的虚拟环境进行练习,通常被称为ctf挑CTF挑战,或者靶场/靶机。英文名对应box,challenge ,cyber range等。
目前主流的操练方法有参与在线的ctf/CTF/靶场平台,例如hackHack theThe boxBox ,tryhackme等。有本地部署的docker,vm。docker和VM镜像。也有能迅速部署在云端的IaC,例如Terraform ,。各云平台的VMI模板服务等。,例如AMI。Hack The Box这类的平台能提供统一的练习,很方便,但是不够私人定制化。也许部分定制化功能对企业开放,但这意味着私人定制的门槛很高。同时,HTB也接受靶机/challenge 投challenge投稿,被接受了的作者可以根据投稿的难度,复杂度,质量等指标得到几百到1000多美1000美元及以上。
这个网站提供门槛更低,更自由的靶机配方与创意的交换。用户可以同时是买家,卖家,和自由浏览者。卖家可以出售他们的靶机,提供无限量购买(花钱就即可以购买),以及独占购买(例如企业买了用于当作技术面试挑战,因此不希望其他人买到以泄漏得知答案)。买家即看到心仪的靶机从而支付。除此之外,有个特别的板块,用于提出定制化需求。卖家可以发布广告表示自己接受私人定制,买家可以发布广告悬赏满足自己需要的靶机(例如用于公司网络安全岗位的技术面试)
网站获利途径:
- 交易抽成
- 买家和卖家发布广告的席位费
- 其他,例如会员,会员免网页推广广告等其他权利
重点是靶场配方的形式:
- 文档:记录制作靶场的步骤。对买家技术要求很高
- Docker:快速部署,但主要是linux靶机
- vm:文件大,具有存储负担,但比较直接。导入到vmware产品中并稍加设置
- IaC文件:需要具备一定的云知识
- Vmi等虚拟机模板:各个平台的虚拟机模板,例如AMI,非常方便在各自平台无缝启动
每个靶机的属性:
贩售方式:仅独占,仅不限量,无限制
操作系统:windows,linux,安卓,等
考核知识领域:例如AD,cloud等
官方难度
社区评价难度
购买数量
买家打分评价(星级)
买家评论评价
靶机攻略讨论板块
Tag:更加自由,从操作系统到知识点都行
请分析并梳理一下我的创意,可以提供一些建设性的建议。等我觉得思路差不多完善了,之后我会要求制作出比较专业的设计思路文档