Cauan33XL/SECURE-FLAG-PROJETO-CTF

GitHub: Cauan33XL/SECURE-FLAG-PROJETO-CTF

一个面向教学的学术CTF项目,通过虚构金融网站模拟实战取证训练,解决校内实践资源短缺问题。

Stars: 1 | Forks: 0

# Secure Flag - CTF 项目 **Yaldabaoth-Home & Yaldabaoth-Bank-Corporate** 学术 CTF 项目 — 针对虚构银行的取证攻击模拟 - **项目链接访问:** - **SecureFlag 项目网站:** - [网站 - SECURE FLAG CTF 模块项目](https://secure-flag-projeto-ctf.vercel.app) - **SecureFlag CTF 主平台:** - [网站 - SecureFlag CTF 挑战平台](https://secureflagctf.svxsec.com/page) **团队:** - CAUAN GABRIEL MATOS SILVA - CAIO LUIZ MATOS DE OLIVEIRA - FILIPE AUGUSTO DA SILVA CARDOSO - GABRIEL DE LIMA ADRIANO **机构:** 中部高原大学中心 — UNICEPLAC **学科 / 指导教师:** 综合项目 / 计算机取证 — Rômulo Valadares 教授 **周期:** 2025年8月30日 — 2025年12月9日 **地点:** Gama-DF, 2025 ## 目录 - [摘要](#resumo) - [引言](#introdução) - [目标](#objetivos) - [立项依据](#justificativa) - [方法论](#metodologia) - [范围与交付物](#escopo-e-entregáveis) - [项目开发](#desenvolvimento-do-projeto) - [主要功能](#funcionalidades-principais) - [架构与数据流](#arquitetura--fluxo-de-dados) - [技术与工具](#tecnologias-e-ferramentas) - [测试与证据](#testes-e-evidências) - [预期结果与指标](#resultados-esperados--métricas) - [许可证](#licença) - [贡献](#contribuição) - [致谢](#agradecimentos) - [联系方式](#contatos) - [附录 / 附件](#apêndice--anexos) - [English Readme Version](#english-readme-version) ## 摘要 Secure Flag 是一个专注于取证网络安全的 教学 Capture The Flag (CTF) 环境。该项目交付了两个相互关联的虚构网站 —— **Yaldabaoth-Home**(入口门户)和 **Yaldabaoth-Bank-Corporate**(银行目标)—— 此外还提供了完整的文档和挑战管理器(CTFd — 可选)。 该倡议旨在应对三个核心挑战: - 网络安全专业人才的高需求 - 学术界实践经验的匮乏 - 解决问题能力的培养 Flag 和线索战略性地分布在页面、电子邮件和 assets 中,旨在通过游戏化教学,教授数字调查、log 分析、逆向工程和网络知识。 ## 引言 鉴于学术界缺乏数字安全实践经验以及合格专业人才的短缺,我们设计了一个教学型 CTF,用于模拟金融机构中发生的网络安全事件。该提案结合了实践操作、详尽的技术文档以及结构化的学习路线。 **市场背景:** - 巴西网络安全专业人才缺口约达 75 万(IBSEC) - 年轻人对该领域的兴趣日益浓厚,但缺乏实践准备 - 学术理论与职业现实之间需要建立桥梁 **教育方法:** - 灵感源自金融行业真实案例的挑战 - 技术与认知能力的培养 - 用于体验式学习的安全受控环境 ## 目标 ### 总体目标 - 构建用于取证网络安全培训的实用且安全的环境 - 提供有文档支持且可扩展的挑战(初学者 → 中级) - 产出可供学术用途复用的材料 - 提供便捷的本地部署流程 ### 具体目标 - 通过日常职业的实践视角,帮助对安全/取证领域感兴趣的人员 - 通过游戏化激发好奇心并培养解决问题的能力 - 鼓励 IT 学生深入掌握计算机知识 - 测试在 Linux、Windows、编程逻辑、log 分析和网络方面的知识 - 提供实用、有趣且富有教育意义的网络安全体验 ## 立项依据 ### 针对的问题 1. **专业需求高**:不断增长的市场存在 75 万专业人才的缺口 2. **缺乏实践经验**:传统教学中缺少实践操作机会 3. **技能发展**:需要具备解决问题的能力 ### 统计基础 - 据《Correio Braziliense》报道:“网络安全在巴西蓬勃发展,但合格的专业人才仍然短缺” - IBSEC 数据:巴西面临该领域专家的严重短缺 - 研究表明,87% 的企业在 2023 年遭受过安全事件 ### 提议的解决方案 - 将 CTF 作为一种实用且引人入胜的学习工具 - 在受控环境中进行真实的模拟 - 通过进阶挑战逐步培养新人才 ## 方法论 ### 开发方法 - **案例驱动设计**:灵感源自金融行业真实事件的挑战 - **迭代原型设计**:使用 Figma 进行屏幕设计和用户流程规划 - **渐进式实现**:MVP → 测试 → 优化的持续周期 - **受控环境**:使用本地服务器和容器进行安全测试 - **教学文档**:包含明确目标和上下文提示的详细指南 ### 技术术语表 | 术语 | 定义 | |-------|-----------| | **CTF** | 训练网络安全的挑战竞赛 | | **网络安全** | 保护计算机、网络和信息 | | **取证安全** | 针对网络犯罪的数字调查 | | **逆向工程** | 分析系统以了解其运作方式 | | **Log 分析** | 阅读系统记录以进行调查 | | **Docker** | 用于创建和运行容器的工具 | ## 范围与交付物 ### 开发的产品 - **Yaldabaoth-Home**:包含解释性视频和导航的完整 landing page - **Yaldabaoth-Bank-Corporate**:带有企业邮箱的模拟银行网站 - **Secure Flag CTF 平台**:带有排名系统的挑战管理器 ### 文档与工件 - 完整的技术文档(README、指南、报告) - 部署文件(Docker、配置脚本) - Figma 原型和测试证据 - 许可证:代码使用 MIT,内容使用 CC BY-NC-SA 4.0 ## 项目开发 ### Yaldabaoth-Home **功能**:攻击的起点并用于捕获初始 flag **主要特点:** - 设有提供真实促销活动的“最佳优惠”版块 - 设有包含用于逆向工程的电子邮件的“专家团队”版块 - 版块间导航直观 - 具备亮/暗主题切换按钮 ### Yaldabaoth-Bank-Corporate **真实银行环境模拟** **企业邮件系统:** - 带有严格验证的登录界面 - 带有交互式电子邮件和线索的收件箱 - 功能:亮/暗模式、导航、登出 - 包含战略性 flag 的虚构员工电子邮件 ### Secure Flag CTF 平台 **完整管理系统** **主要特性:** - 支持 20 种不同语言 - 由代码控制的注册系统 - 纯个人挑战 - 实时竞技排名 - 响应式且直观的界面 **已实现的界面:** - 带有解释性视频和规则的首页 - 带有搜索和过滤功能的用户系统 - 带有验证的注册和登录 - 个人资料和可自定义设置 - 带有指标的控制面板 ## 主要功能 ### 提交系统 - flag 自动验证 - 为用户提供即时反馈 - 每个挑战的递进式评分 ### 提示系统 - 上下文提示机制 - 评分的递进式惩罚 - 支持不同的难度级别 ### 用户管理 - 由管理员代码控制的注册 - 带有偏好设置的可自定义配置文件 - 排名和分类系统 ### 用户体验 - 响应式且易于访问的界面 - 亮色和暗色主题 - 版块间导航直观 - 清晰的验证消息 ## 架构与数据流 ### 系统架构 Frontend(静态站点) → CTFd(可选) → Database ↓ Yaldabaoth-Home ↓ Yaldabaoth-Bank-Corporate ↓ Flag 提交 → 验证 → 评分 ### 操作流程 1. **初始访问**:用户访问 Yaldabaoth-Home 2. **探索**:浏览页面并收集线索 3. **调查**:与企业邮箱和 assets 交互 4. **发现**:通过各种技术寻找 flag 5. **提交**:在 Secure Flag 平台上发送 flag 6. **验证**:系统进行验证并分配积分 7. **排名**:实时更新排名分类 ## 技术与工具 ### 技术栈 #### Frontend - **HTML5/CSS3/JavaScript**:Yaldabaoth 静态站点 - **React 18**:Yaldabaoth-Bank-Corporate - **Vite**:构建工具与开发环境 - **CSS Modules**:组件化样式 #### 基础设施 - **Docker**:容器化与隔离 - **CTFd**:CTF 管理平台 - **GitHub Pages**:静态托管 - **MariaDB/MySQL**:数据持久化 #### 开发 - **Visual Studio Code**:主 IDE - **Figma**:原型与设计 - **Git/GitHub**:版本控制 - **GitHub Actions**:自动化 CI/CD ### 应用的方法论 - Scrum 开发 - 基于组件的架构 - 严格的安全验证 - 全面的跨浏览器测试 ## 测试与证据 ### 测试策略 - **响应式**:在桌面设备、平板电脑和移动设备上进行测试 - **安全性**:输入验证和 XSS 保护 - **功能性**:验证所有交互 - **可用性**:评估用户体验 ### 主要测试用例 1. **跨浏览器渲染** 2. **表单验证** 3. **Flag 功能** 4. **评分系统** 5. **移动设备上的响应能力** ### 收集的证据 - 所有屏幕的完整截图 - 详细的交互 log - 手动测试报告 - 验证和评分记录 ## 预期结果与指标 ### 定性结果 - 适用于 10+ 分类挑战的功能性环境 - 可复用的教育材料 - 为未来扩展奠定坚实基础 - 引人入胜的学习体验 ### 成功指标 - **完成率**:>70% 的初学者挑战 - **平均分**:按类别划分的基准 - **参与度**:>5 次提交/用户 - **满意度**:调查得分 >8/10 ### 教育影响 - 强化技术技能 - 培养批判性思维 - 为迎接市场的真实挑战做准备 - 培养网络安全领域的新人才 ## 许可证 ### 双重许可 - **源代码**:MIT License - **内容与文档**:Creative Commons BY-NC-SA 4.0 ### 许可证文件 - `LICENSE` - MIT License 完整条款 - `LICENSE-CC` - CC BY-NC-SA 4.0 完整条款 ## 贡献 ### 感兴趣的领域 - 新的挑战和类别 - Bug 修复和改进 - 扩展文档 - 翻译为新语言 ### 贡献流程 1. Fork 该仓库 2. 描述性分支(`feature/...` 或 `fix/...`) 3. 带有清晰信息的 Commit 4. 带有详细描述的 Pull Request ### 行为准则 - 尊重团队和社区 - 学术和教育焦点 - 技术质量和清晰度 - 完善的文档 ## 致谢 **指导教师**:Rômulo Valadares 教授 - 感谢其专业的指导和重要的支持 **机构**:UNICEPLAC - 感谢其提供的学术基础设施和环境 **团队**:项目同事 - 感谢大家倾注的心血与协作 **贡献者**:所有直接或间接支持这一教育倡议的人 ## 联系方式 **项目团队**: - cauan.silva@ads.uniceplac.edu.br - cauan33XL@proton.me **指导教师**: Rômulo Valadares 教授 - UNICEPLAC **官方仓库**: - https://github.com/Cauan33XL/yaldabaoth-home-ctf-project - https://secure-flag-projeto-ctf.vercel.app/ - https://github.com/Cauan33XL/yaldabaoth-email-corporate-ctf-project ## 附录 / 附件 ### 执行时间表 **周期**:2025年8月30日 — 2025年12月9日 **主要阶段**: - 9 月:研究与原型设计 - 10 月:核心实现 - 11 月:测试与优化 - 12 月:文档编写与交付 ### 涵盖内容 - 信息安全 - 攻击模拟 - 取证 Log 分析 - 逆向工程 - 网络分析 ### 1. CTFTIME - CTF 活动与结构 2. HackerSec - 黑客挑战基础 3. UNB Cybersecurity Club - 教学方法论 4. Correio Braziliense - 市场背景 5. IBSEC - 行业统计数据 # 英文 Readme 版本 ## Secure Flag - CTF 项目 **Yaldabaoth-Home & Yaldabaoth-Bank-Corporate** 学术 CTF 项目 — 针对虚构银行的取证攻击模拟 - **项目链接访问:** - **SecureFlag 项目网站:** - [网站 - SECURE FLAG CTF 模块项目](https://secure-flag-projeto-ctf.vercel.app) - **SecureFlag CTF 主平台:** - [网站 - SecureFlag CTF 挑战平台](https://secureflagctf.svxsec.com/page) **团队:** - CAUAN GABRIEL MATOS SILVA - CAIO LUIZ MATOS DE OLIVEIRA - FILIPE AUGUSTO DA SILVA CARDOSO - GABRIEL DE LIMA ADRIANO **机构:** 中部高原大学中心 — UNICEPLAC **学科 / 指导教师:** 综合项目 / 计算机取证 — Rômulo Valadares 教授 **周期:** 2025年8月30日 — 2025年12月9日 **地点:** Gama-DF, 2025 ## 目录 - [摘要](#abstract) - [引言](#introduction) - [目标](#objectives) - [立项依据](#justification) - [方法论](#methodology) - [范围与交付物](#scope-and-deliverables) - [项目开发](#project-development) - [主要功能](#main-features) - [架构与数据流](#architecture--data-flow) - [技术与工具](#technologies-and-tools) - [测试与证据](#tests-and-evidence) - [预期结果与指标](#expected-results--metrics) - [许可证](#license) - [贡献](#contribution) - [致谢](#acknowledgments) - [联系方式](#contacts) - [附录 / 附件](#appendix--attachments) ## 摘要 Secure Flag 是一个专注于取证网络安全的 Capture The Flag (CTF) 教学环境。该项目交付了两个相互关联的虚构网站 —— **Yaldabaoth-Home**(入口门户)和 **Yaldabaoth-Bank-Corporate**(银行目标)—— 此外还提供了完整的文档和挑战管理器(CTFd — 可选)。 该倡议旨在应对三个核心挑战: - 网络安全专业人才的高需求 - 学术界实践经验的匮乏 - 解决问题能力的培养 Flag 和线索战略性地分布在页面、电子邮件和 assets 中,旨在通过游戏化教学,教授数字调查、log 分析、逆向工程和网络知识。 ## 引言 鉴于学术界缺乏数字安全实践经验以及合格专业人才的短缺,我们设计了一个教学型 CTF,用于模拟金融机构中发生的网络安全事件。该提案结合了实践操作、详尽的技术文档以及结构化的学习路线。 **市场背景:** - 巴西网络安全专业人才缺口约达 75 万(IBSEC) - 年轻人对该领域的兴趣日益浓厚,但缺乏实践准备 - 学术理论与职业现实之间需要建立桥梁 **教育方法:** - 灵感源自金融行业真实案例的挑战 - 技术与认知能力的培养 - 用于体验式学习的安全受控环境 ## 目标 ### 总体目标 - 构建用于取证网络安全培训的实用且安全的环境 - 提供有文档支持且可扩展的挑战(初学者 → 中级) - 产出可供学术用途复用的材料 - 提供便捷的本地部署流程 ### 具体目标 - 通过日常职业的实践视角,帮助对安全/取证领域感兴趣的人员 - 通过游戏化激发好奇心并培养解决问题的能力 - 鼓励 IT 学生深入掌握计算机知识 - 测试在 Linux、Windows、编程逻辑、log 分析和网络方面的知识 - 提供实用、有趣且富有教育意义的网络安全体验 ## 立项依据 ### 针对的问题 1. **专业需求高**:不断增长的市场存在 75 万专业人才的缺口 2. **缺乏实践经验**:传统教学中缺少实践操作机会 3. **技能发展**:需要具备解决问题的能力 ### 统计基础 - 据《Correio Braziliense》报道:“网络安全在巴西蓬勃发展,但合格的专业人才仍然短缺” - IBSEC 数据:巴西面临该领域专家的严重短缺 - 研究表明,87% 的企业在 2023 年遭受过安全事件 ### 提议的解决方案 - 将 CTF 作为一种实用且引人入胜的学习工具 - 在受控环境中进行真实的模拟 - 通过进阶挑战逐步培养新人才 ## 方法论 ### 开发方法 - **案例驱动设计**:灵感源自金融行业真实事件的挑战 - **迭代原型设计**:使用 Figma 进行屏幕设计和用户流程规划 - **渐进式实现**:MVP → 测试 → 优化的持续周期 - **受控环境**:使用本地服务器和容器进行安全测试 - **教学文档**:包含明确目标和上下文提示的详细指南 ### 技术术语表 | 术语 | 定义 | |-------|-----------| | **CTF** | 训练网络安全的挑战竞赛 | | **网络安全** | 保护计算机、网络和信息 | | **取证安全** | 针对网络犯罪的数字调查 | | **逆向工程** | 分析系统以了解其运作方式 | | **Log 分析** | 阅读系统记录以进行调查 | | **Docker** | 用于创建和运行容器的工具 | ## 范围与交付物 ### 开发的产品 - **Yaldabaoth-Home**:包含解释性视频和导航的完整 landing page - **Yaldabaoth-Bank-Corporate**:带有企业邮箱的模拟银行网站 - **Secure Flag CTF 平台**:带有排名系统的挑战管理器 ### 文档与工件 - 完整的技术文档(README、指南、报告) - 部署文件(Docker、配置脚本) - Figma 原型和测试证据 - 许可证:代码使用 MIT,内容使用 CC BY-NC-SA 4.0 ## 项目开发 ### Yaldabaoth-Home **功能**:攻击的起点并用于捕获初始 flag **主要特点:** - 设有提供真实促销活动的“最佳优惠”版块 - 设有包含用于逆向工程的电子邮件的“专家团队”版块 - 版块间导航直观 - 具备亮/暗主题切换按钮 ### Yaldabaoth-Bank-Corporate **真实银行环境模拟** **企业邮件系统:** - 带有严格验证的登录界面 - 带有交互式电子邮件和线索的收件箱 - 功能:亮/暗模式、导航、登出 - 包含战略性 flag 的虚构员工电子邮件 ### Secure Flag CTF 平台 **完整管理系统** **主要特性:** - 支持 20 种不同语言 - 由代码控制的注册系统 - 纯个人挑战 - 实时竞技排名 - 响应式且直观的界面 **已实现的界面:** - 带有解释性视频和规则的首页 - 带有搜索和过滤功能的用户系统 - 带有验证的注册和登录 - 个人资料和可自定义设置 - 带有指标的控制面板 ## 主要功能 ### 提交系统 - flag 自动验证 - 为用户提供即时反馈 - 每个挑战的递进式评分 ### 提示系统 - 上下文提示机制 - 评分的递进式惩罚 - 支持不同的难度级别 ### 用户管理 - 由管理员代码控制的注册 - 带有偏好设置的可自定义配置文件 - 排名和分类系统 ### 用户体验 - 响应式且易于访问的界面 - 亮色和暗色主题 - 版块间导航直观 - 清晰的验证消息 ## 架构与数据流 ### 系统架构 Frontend(静态站点) → CTFd(可选) → Database ↓ Yaldabaoth-Home ↓ Yaldabaoth-Bank-Corporate ↓ Flag 提交 → 验证 → 评分 ### 操作流程 1. **初始访问**:用户访问 Yaldabaoth-Home 2. **探索**:浏览页面并收集线索 3. **调查**:与企业邮箱和 assets 交互 4. **发现**:通过各种技术寻找 flag 5. **提交**:在 Secure Flag 平台上发送 flag 6. **验证**:系统进行验证并分配积分 7. **排名**:实时更新排名分类 ## 技术与工具 ### 技术栈 #### Frontend - **HTML5/CSS3/JavaScript**:Yaldabaoth 静态站点 - **React 18**:Yaldabaoth-Bank-Corporate - **Vite**:构建工具与开发环境 - **CSS Modules**:组件化样式 #### 基础设施 - **Docker**:容器化与隔离 - **CTFd**:CTF 管理平台 - **GitHub Pages**:静态托管 - **MariaDB/MySQL**:数据持久化 #### 开发 - **Visual Studio Code**:主 IDE - **Figma**:原型与设计 - **Git/GitHub**:版本控制 - **GitHub Actions**:自动化 CI/CD ### 应用的方法论 - Scrum 开发 - 基于组件的架构 - 严格的安全验证 - 全面的跨浏览器测试 ## 测试与证据 ### 测试策略 - **响应式**:在桌面设备、平板电脑和移动设备上进行测试 - **安全性**:输入验证和 XSS 保护 - **功能性**:验证所有交互 - **可用性**:评估用户体验 ### 主要测试用例 1. **跨浏览器渲染** 2. **表单验证** 3. **Flag 功能** 4. **评分系统** 5. **移动设备上的响应能力** ### 收集的证据 - 所有屏幕的完整截图 - 详细的交互 log - 手动测试报告 - 验证和评分记录 ## 预期结果与指标 ### 定性结果 - 适用于 10+ 分类挑战的功能性环境 - 可复用的教育材料 - 为未来扩展奠定坚实基础 - 引人入胜的学习体验 ### 成功指标 - **完成率**:>70% 的初学者挑战 - **平均分**:按类别划分的基准 - **参与度**:>5 次提交/用户 - **满意度**:调查得分 >8/10 ### 教育影响 - 强化技术技能 - 培养批判性思维 - 为迎接市场的真实挑战做准备 - 培养网络安全领域的新人才 ## 许可证 ### 双重许可 - **源代码**:MIT License - **内容与文档**:Creative Commons BY-NC-SA 4.0 ### 许可证文件 - `LICENSE` - MIT License 完整条款 - `LICENSE-CC` - CC BY-NC-SA 4.0 完整条款 ## 贡献 ### 感兴趣的领域 - 新的挑战和类别 - Bug 修复和改进 - 扩展文档 - 翻译为新语言 ### 贡献流程 1. Fork 该仓库 2. 描述性分支(`feature/...` 或 `fix/...`) 3. 带有清晰信息的 Commit 4. 带有详细描述的 Pull Request ### 行为准则 - 尊重团队和社区 - 学术和教育焦点 - 技术质量和清晰度 - 完善的文档 ## 致谢 **指导教师**:Rômulo Valadares 教授 - 感谢其专业的指导和重要的支持 **机构**:UNICEPLAC - 感谢其提供的学术基础设施和环境 **团队**:项目同事 - 感谢大家倾注的心血与协作 **贡献者**:所有直接或间接支持这一教育倡议的人 ## 联系方式 **项目团队**: - cauan.silva@ads.uniceplac.edu.br - cauan33XL@proton.me **指导教师**: Rômulo Valadares 教授 - UNICEPLAC **官方仓库**: - https://github.com/Cauan33XL/yaldabaoth-home-ctf-project - https://secure-flag-projeto-ctf.vercel.app/ - https://github.com/Cauan33XL/yaldabaoth-email-corporate-ctf-project ## 附录 / 附件 ### 执行时间表 **周期**:2025年8月30日 — 2025年12月9日 **主要阶段**: - 9 月:研究与原型设计 - 10 月:核心 - 11 月:测试与优化 - 12 月:文档编写与交付 ### 涵盖内容 - 信息安全 - 攻击模拟 - 取证 Log 分析 - 逆向工程 - 网络分析 ### 参考文献 1. CTFTIME - CTF 活动与结构 2. HackerSec - 黑客挑战基础 3. UNB Cybersecurity Club - 教学方法论 4. Correio Braziliense - 市场背景 5. IBSEC - 行业统计数据
标签:CTF平台, OPA, Web应用, 数字取证, 网络安全教育, 自动化脚本, 靶场