山东大学网络安全靶场实验平台——团队进度(一)

系列文章专栏地址:

山东大学网络安全靶场实验平台


本期目录

  • 序言
  • 一、需求分析
    • 1.1 用户界面
    • 1.2 功能需求
    • 1.3 性能需求
    • 1.4 数据库需求
  • 二、系统框架设计
  • 三、小组分工


序言

现在是系列文章第二篇
上一篇:山东大学网络安全靶场实验平台——团队及项目介绍
第一周,我们主要对项目的内容进行了需求分析,对整个系统进行设计,然后小组成员分工,并且在此基础上开展学习。

一、需求分析

1.1 用户界面

主要是大界面
1.靶场模块:
一共十种类型漏洞(靶场/题目)、有对此漏洞的简要介绍。用户点击进入查看具体题目,每个漏洞可能会有若干道题目(试时间和能力完成,比如sql注入类型的题目可以多一点),用户点击题目进入环境,然后开始作答,以找到flag为目的,参考ctf比赛和攻防世界。

漏洞种类(预估):
 弱口令破解
 Burt Force(暴力破解漏洞)
 XSS(跨站脚本漏洞)
 CSRF(跨站请求伪造)
 SQL-Inject(SQL注入漏洞)
 RCE(远程命令/代码执行)
 Files Inclusion(文件包含漏洞)
 Unsafe file downloads(不安全的文件下载)
 Unsafe file uploads(不安全的文件上传)
 Over Permisson(越权漏洞)
 …/…/…/(目录遍历)
 I can see your ABC(敏感信息泄露)
 XXE(XML External Entity attack)
 不安全的URL重定向
 SSRF(Server-Side Request Forgery)
 密码学相关的题目
 openssl心脏滴血

2.论坛模块:
用户可以在上面看文章、发文章、评论、查看评论和回复(选作)、管理员可以删除。
(这里也许写简单一点,可能只有writeup上传,方便老师记平时分啥的。)

3.文件加密工具:
用户都可以使用,选择文件和加密算法进行文件的加密,选择输出位置,形成文件。解密同理。

1.2 功能需求

用户分为三种:student、teacher、Admin

共同的功能:账户的注册登录、密码的更改、修改头像。
Admin功能:
1.能查看每个用户的信息,可以对老师和学生进行增删改查的操作。
2.可以通过上传文件的方式进行题目的更新。
3.对论坛上的文章进行审核,可以删除不合规文章

Student功能:
1.靶场模块:选择题目(靶机)进行解答,能查看writeup提示
2.论坛模块:可以在论坛模块进行发帖讨论,可以评论和查看回复。
3.密码加解密模块:可以使用文件加密工具进行文本文件的加密
4.个人中心:主要是加入班级、查看来自班级内老师的实验公告

Teacher功能:
1.创建班级、导入学生、对班级内的学生的增删改查操作。
2.向班级内学生发布有关实验作业的通知等
3.能够查看每个班级内学生的做题情况
4.可以使用文件加密工具进行文本文件的加密
5.论坛模块:可以在论坛模块进行发帖讨论,可以评论和查看回复。

1.3 性能需求

维持能20人同时在线的水平。
靶机开启速度20s内。
其他响应速度3s内

1.4 数据库需求

数据库大概存储1000人次的数据量,30道题目,其余的事情就以后再说吧

二、系统框架设计

山东大学网络安全靶场实验平台——团队进度(一)_第1张图片
首先我们这个项目是CS的,所以需要写出一个网页,然后用户分为学生和管理员。主要功能模块是靶场、密码加解密工具和论坛。而最关键的靶场部分需要使用Docker技术,我们需要提前写好各种靶机网页,用户通过网站去开启靶机进行训练和攻击,超过时间将靶机资源回收,使用者也可以自主选择销毁靶机环境。具体的靶机环境以镜像的形式存在仓库里,镜像模块负责从仓库中获取漏洞环境镜像等操作。容器模块负责本地容器的创建、运行、终止和删除,将镜像实例化从而得到靶机网址。

三、小组分工

每个人分工侧重点不同,主要记录在个人博客上,以下是大致的分工

当前阶段:

李宏伟:docker相关模块的搭建+漏洞
凌琛:网页平台前端+后端+漏洞
范志洁:网页平台前端+后端+漏洞
刘竞猷:主要负责漏洞、以及一些模块校正
乔靖博:密码加解密工具实现+漏洞

那么接下来:小组成员需要根据当前的分工,确定自己要学习的内容,进行学习和编写代码

你可能感兴趣的:(山东大学网络安全靶场实验平台,安全,前端,后端,docker,网络安全)