山东大学网络安全靶场实验平台——团队进度（一）

系列文章专栏地址：

山东大学网络安全靶场实验平台

---

---

序言

现在是系列文章第二篇
上一篇：山东大学网络安全靶场实验平台——团队及项目介绍
第一周，我们主要对项目的内容进行了需求分析，对整个系统进行设计，然后小组成员分工，并且在此基础上开展学习。

一、需求分析

1.1 用户界面

主要是大界面
1.靶场模块：
一共十种类型漏洞（靶场/题目）、有对此漏洞的简要介绍。用户点击进入查看具体题目，每个漏洞可能会有若干道题目（试时间和能力完成，比如sql注入类型的题目可以多一点），用户点击题目进入环境，然后开始作答，以找到flag为目的，参考ctf比赛和攻防世界。

漏洞种类（预估）：
 弱口令破解
 Burt Force(暴力破解漏洞)
 XSS(跨站脚本漏洞)
 CSRF(跨站请求伪造)
 SQL-Inject(SQL注入漏洞)
 RCE(远程命令/代码执行)
 Files Inclusion(文件包含漏洞)
 Unsafe file downloads(不安全的文件下载)
 Unsafe file uploads(不安全的文件上传)
 Over Permisson(越权漏洞)
 …/…/…/(目录遍历)
 I can see your ABC(敏感信息泄露)
 XXE(XML External Entity attack)
 不安全的URL重定向
 SSRF(Server-Side Request Forgery)
 密码学相关的题目
 openssl心脏滴血

2.论坛模块：
用户可以在上面看文章、发文章、评论、查看评论和回复（选作）、管理员可以删除。
（这里也许写简单一点，可能只有writeup上传，方便老师记平时分啥的。）

3.文件加密工具：
用户都可以使用，选择文件和加密算法进行文件的加密，选择输出位置，形成文件。解密同理。

1.2 功能需求

用户分为三种：student、teacher、Admin

共同的功能：账户的注册登录、密码的更改、修改头像。
Admin功能：
1.能查看每个用户的信息，可以对老师和学生进行增删改查的操作。
2.可以通过上传文件的方式进行题目的更新。
3.对论坛上的文章进行审核，可以删除不合规文章

Student功能：
1.靶场模块:选择题目（靶机）进行解答，能查看writeup提示
2.论坛模块：可以在论坛模块进行发帖讨论，可以评论和查看回复。
3.密码加解密模块：可以使用文件加密工具进行文本文件的加密
4.个人中心：主要是加入班级、查看来自班级内老师的实验公告

Teacher功能：
1.创建班级、导入学生、对班级内的学生的增删改查操作。
2.向班级内学生发布有关实验作业的通知等
3.能够查看每个班级内学生的做题情况
4.可以使用文件加密工具进行文本文件的加密
5.论坛模块：可以在论坛模块进行发帖讨论，可以评论和查看回复。

1.3 性能需求

维持能20人同时在线的水平。
靶机开启速度20s内。
其他响应速度3s内

1.4 数据库需求

数据库大概存储1000人次的数据量，30道题目，其余的事情就以后再说吧

二、系统框架设计

首先我们这个项目是CS的，所以需要写出一个网页，然后用户分为学生和管理员。主要功能模块是靶场、密码加解密工具和论坛。而最关键的靶场部分需要使用Docker技术，我们需要提前写好各种靶机网页，用户通过网站去开启靶机进行训练和攻击，超过时间将靶机资源回收，使用者也可以自主选择销毁靶机环境。具体的靶机环境以镜像的形式存在仓库里，镜像模块负责从仓库中获取漏洞环境镜像等操作。容器模块负责本地容器的创建、运行、终止和删除，将镜像实例化从而得到靶机网址。

三、小组分工

每个人分工侧重点不同，主要记录在个人博客上，以下是大致的分工

当前阶段：

李宏伟：docker相关模块的搭建+漏洞
凌琛：网页平台前端+后端+漏洞
范志洁：网页平台前端+后端+漏洞
刘竞猷：主要负责漏洞、以及一些模块校正
乔靖博：密码加解密工具实现+漏洞

那么接下来：小组成员需要根据当前的分工，确定自己要学习的内容，进行学习和编写代码