Cauan33XL/SECURE-FLAG-PROJETO-CTF
GitHub: Cauan33XL/SECURE-FLAG-PROJETO-CTF
一个面向教学的学术CTF项目,通过虚构金融网站模拟实战取证训练,解决校内实践资源短缺问题。
Stars: 1 | Forks: 0
# Secure Flag - CTF 项目
**Yaldabaoth-Home & Yaldabaoth-Bank-Corporate**
学术 CTF 项目 — 针对虚构银行的取证攻击模拟
- **项目链接访问:**
- **SecureFlag 项目网站:**
- [网站 - SECURE FLAG CTF 模块项目](https://secure-flag-projeto-ctf.vercel.app)
- **SecureFlag CTF 主平台:**
- [网站 - SecureFlag CTF 挑战平台](https://secureflagctf.svxsec.com/page)
**团队:**
- CAUAN GABRIEL MATOS SILVA
- CAIO LUIZ MATOS DE OLIVEIRA
- FILIPE AUGUSTO DA SILVA CARDOSO
- GABRIEL DE LIMA ADRIANO
**机构:** 中部高原大学中心 — UNICEPLAC
**学科 / 指导教师:** 综合项目 / 计算机取证 — Rômulo Valadares 教授
**周期:** 2025年8月30日 — 2025年12月9日
**地点:** Gama-DF, 2025
## 目录
- [摘要](#resumo)
- [引言](#introdução)
- [目标](#objetivos)
- [立项依据](#justificativa)
- [方法论](#metodologia)
- [范围与交付物](#escopo-e-entregáveis)
- [项目开发](#desenvolvimento-do-projeto)
- [主要功能](#funcionalidades-principais)
- [架构与数据流](#arquitetura--fluxo-de-dados)
- [技术与工具](#tecnologias-e-ferramentas)
- [测试与证据](#testes-e-evidências)
- [预期结果与指标](#resultados-esperados--métricas)
- [许可证](#licença)
- [贡献](#contribuição)
- [致谢](#agradecimentos)
- [联系方式](#contatos)
- [附录 / 附件](#apêndice--anexos)
- [English Readme Version](#english-readme-version)
## 摘要
Secure Flag 是一个专注于取证网络安全的 教学 Capture The Flag (CTF) 环境。该项目交付了两个相互关联的虚构网站 —— **Yaldabaoth-Home**(入口门户)和 **Yaldabaoth-Bank-Corporate**(银行目标)—— 此外还提供了完整的文档和挑战管理器(CTFd — 可选)。
该倡议旨在应对三个核心挑战:
- 网络安全专业人才的高需求
- 学术界实践经验的匮乏
- 解决问题能力的培养
Flag 和线索战略性地分布在页面、电子邮件和 assets 中,旨在通过游戏化教学,教授数字调查、log 分析、逆向工程和网络知识。
## 引言
鉴于学术界缺乏数字安全实践经验以及合格专业人才的短缺,我们设计了一个教学型 CTF,用于模拟金融机构中发生的网络安全事件。该提案结合了实践操作、详尽的技术文档以及结构化的学习路线。
**市场背景:**
- 巴西网络安全专业人才缺口约达 75 万(IBSEC)
- 年轻人对该领域的兴趣日益浓厚,但缺乏实践准备
- 学术理论与职业现实之间需要建立桥梁
**教育方法:**
- 灵感源自金融行业真实案例的挑战
- 技术与认知能力的培养
- 用于体验式学习的安全受控环境
## 目标
### 总体目标
- 构建用于取证网络安全培训的实用且安全的环境
- 提供有文档支持且可扩展的挑战(初学者 → 中级)
- 产出可供学术用途复用的材料
- 提供便捷的本地部署流程
### 具体目标
- 通过日常职业的实践视角,帮助对安全/取证领域感兴趣的人员
- 通过游戏化激发好奇心并培养解决问题的能力
- 鼓励 IT 学生深入掌握计算机知识
- 测试在 Linux、Windows、编程逻辑、log 分析和网络方面的知识
- 提供实用、有趣且富有教育意义的网络安全体验
## 立项依据
### 针对的问题
1. **专业需求高**:不断增长的市场存在 75 万专业人才的缺口
2. **缺乏实践经验**:传统教学中缺少实践操作机会
3. **技能发展**:需要具备解决问题的能力
### 统计基础
- 据《Correio Braziliense》报道:“网络安全在巴西蓬勃发展,但合格的专业人才仍然短缺”
- IBSEC 数据:巴西面临该领域专家的严重短缺
- 研究表明,87% 的企业在 2023 年遭受过安全事件
### 提议的解决方案
- 将 CTF 作为一种实用且引人入胜的学习工具
- 在受控环境中进行真实的模拟
- 通过进阶挑战逐步培养新人才
## 方法论
### 开发方法
- **案例驱动设计**:灵感源自金融行业真实事件的挑战
- **迭代原型设计**:使用 Figma 进行屏幕设计和用户流程规划
- **渐进式实现**:MVP → 测试 → 优化的持续周期
- **受控环境**:使用本地服务器和容器进行安全测试
- **教学文档**:包含明确目标和上下文提示的详细指南
### 技术术语表
| 术语 | 定义 |
|-------|-----------|
| **CTF** | 训练网络安全的挑战竞赛 |
| **网络安全** | 保护计算机、网络和信息 |
| **取证安全** | 针对网络犯罪的数字调查 |
| **逆向工程** | 分析系统以了解其运作方式 |
| **Log 分析** | 阅读系统记录以进行调查 |
| **Docker** | 用于创建和运行容器的工具 |
## 范围与交付物
### 开发的产品
- **Yaldabaoth-Home**:包含解释性视频和导航的完整 landing page
- **Yaldabaoth-Bank-Corporate**:带有企业邮箱的模拟银行网站
- **Secure Flag CTF 平台**:带有排名系统的挑战管理器
### 文档与工件
- 完整的技术文档(README、指南、报告)
- 部署文件(Docker、配置脚本)
- Figma 原型和测试证据
- 许可证:代码使用 MIT,内容使用 CC BY-NC-SA 4.0
## 项目开发
### Yaldabaoth-Home
**功能**:攻击的起点并用于捕获初始 flag
**主要特点:**
- 设有提供真实促销活动的“最佳优惠”版块
- 设有包含用于逆向工程的电子邮件的“专家团队”版块
- 版块间导航直观
- 具备亮/暗主题切换按钮
### Yaldabaoth-Bank-Corporate
**真实银行环境模拟**
**企业邮件系统:**
- 带有严格验证的登录界面
- 带有交互式电子邮件和线索的收件箱
- 功能:亮/暗模式、导航、登出
- 包含战略性 flag 的虚构员工电子邮件
### Secure Flag CTF 平台
**完整管理系统**
**主要特性:**
- 支持 20 种不同语言
- 由代码控制的注册系统
- 纯个人挑战
- 实时竞技排名
- 响应式且直观的界面
**已实现的界面:**
- 带有解释性视频和规则的首页
- 带有搜索和过滤功能的用户系统
- 带有验证的注册和登录
- 个人资料和可自定义设置
- 带有指标的控制面板
## 主要功能
### 提交系统
- flag 自动验证
- 为用户提供即时反馈
- 每个挑战的递进式评分
### 提示系统
- 上下文提示机制
- 评分的递进式惩罚
- 支持不同的难度级别
### 用户管理
- 由管理员代码控制的注册
- 带有偏好设置的可自定义配置文件
- 排名和分类系统
### 用户体验
- 响应式且易于访问的界面
- 亮色和暗色主题
- 版块间导航直观
- 清晰的验证消息
## 架构与数据流
### 系统架构
Frontend(静态站点) → CTFd(可选) → Database
↓
Yaldabaoth-Home
↓
Yaldabaoth-Bank-Corporate
↓
Flag 提交 → 验证 → 评分
### 操作流程
1. **初始访问**:用户访问 Yaldabaoth-Home
2. **探索**:浏览页面并收集线索
3. **调查**:与企业邮箱和 assets 交互
4. **发现**:通过各种技术寻找 flag
5. **提交**:在 Secure Flag 平台上发送 flag
6. **验证**:系统进行验证并分配积分
7. **排名**:实时更新排名分类
## 技术与工具
### 技术栈
#### Frontend
- **HTML5/CSS3/JavaScript**:Yaldabaoth 静态站点
- **React 18**:Yaldabaoth-Bank-Corporate
- **Vite**:构建工具与开发环境
- **CSS Modules**:组件化样式
#### 基础设施
- **Docker**:容器化与隔离
- **CTFd**:CTF 管理平台
- **GitHub Pages**:静态托管
- **MariaDB/MySQL**:数据持久化
#### 开发
- **Visual Studio Code**:主 IDE
- **Figma**:原型与设计
- **Git/GitHub**:版本控制
- **GitHub Actions**:自动化 CI/CD
### 应用的方法论
- Scrum 开发
- 基于组件的架构
- 严格的安全验证
- 全面的跨浏览器测试
## 测试与证据
### 测试策略
- **响应式**:在桌面设备、平板电脑和移动设备上进行测试
- **安全性**:输入验证和 XSS 保护
- **功能性**:验证所有交互
- **可用性**:评估用户体验
### 主要测试用例
1. **跨浏览器渲染**
2. **表单验证**
3. **Flag 功能**
4. **评分系统**
5. **移动设备上的响应能力**
### 收集的证据
- 所有屏幕的完整截图
- 详细的交互 log
- 手动测试报告
- 验证和评分记录
## 预期结果与指标
### 定性结果
- 适用于 10+ 分类挑战的功能性环境
- 可复用的教育材料
- 为未来扩展奠定坚实基础
- 引人入胜的学习体验
### 成功指标
- **完成率**:>70% 的初学者挑战
- **平均分**:按类别划分的基准
- **参与度**:>5 次提交/用户
- **满意度**:调查得分 >8/10
### 教育影响
- 强化技术技能
- 培养批判性思维
- 为迎接市场的真实挑战做准备
- 培养网络安全领域的新人才
## 许可证
### 双重许可
- **源代码**:MIT License
- **内容与文档**:Creative Commons BY-NC-SA 4.0
### 许可证文件
- `LICENSE` - MIT License 完整条款
- `LICENSE-CC` - CC BY-NC-SA 4.0 完整条款
## 贡献
### 感兴趣的领域
- 新的挑战和类别
- Bug 修复和改进
- 扩展文档
- 翻译为新语言
### 贡献流程
1. Fork 该仓库
2. 描述性分支(`feature/...` 或 `fix/...`)
3. 带有清晰信息的 Commit
4. 带有详细描述的 Pull Request
### 行为准则
- 尊重团队和社区
- 学术和教育焦点
- 技术质量和清晰度
- 完善的文档
## 致谢
**指导教师**:Rômulo Valadares 教授 - 感谢其专业的指导和重要的支持
**机构**:UNICEPLAC - 感谢其提供的学术基础设施和环境
**团队**:项目同事 - 感谢大家倾注的心血与协作
**贡献者**:所有直接或间接支持这一教育倡议的人
## 联系方式
**项目团队**:
- cauan.silva@ads.uniceplac.edu.br
- cauan33XL@proton.me
**指导教师**:
Rômulo Valadares 教授 - UNICEPLAC
**官方仓库**:
- https://github.com/Cauan33XL/yaldabaoth-home-ctf-project
- https://secure-flag-projeto-ctf.vercel.app/
- https://github.com/Cauan33XL/yaldabaoth-email-corporate-ctf-project
## 附录 / 附件
### 执行时间表
**周期**:2025年8月30日 — 2025年12月9日
**主要阶段**:
- 9 月:研究与原型设计
- 10 月:核心实现
- 11 月:测试与优化
- 12 月:文档编写与交付
### 涵盖内容
- 信息安全
- 攻击模拟
- 取证 Log 分析
- 逆向工程
- 网络分析
###
1. CTFTIME - CTF 活动与结构
2. HackerSec - 黑客挑战基础
3. UNB Cybersecurity Club - 教学方法论
4. Correio Braziliense - 市场背景
5. IBSEC - 行业统计数据
# 英文 Readme 版本
## Secure Flag - CTF 项目
**Yaldabaoth-Home & Yaldabaoth-Bank-Corporate**
学术 CTF 项目 — 针对虚构银行的取证攻击模拟
- **项目链接访问:**
- **SecureFlag 项目网站:**
- [网站 - SECURE FLAG CTF 模块项目](https://secure-flag-projeto-ctf.vercel.app)
- **SecureFlag CTF 主平台:**
- [网站 - SecureFlag CTF 挑战平台](https://secureflagctf.svxsec.com/page)
**团队:**
- CAUAN GABRIEL MATOS SILVA
- CAIO LUIZ MATOS DE OLIVEIRA
- FILIPE AUGUSTO DA SILVA CARDOSO
- GABRIEL DE LIMA ADRIANO
**机构:** 中部高原大学中心 — UNICEPLAC
**学科 / 指导教师:** 综合项目 / 计算机取证 — Rômulo Valadares 教授
**周期:** 2025年8月30日 — 2025年12月9日
**地点:** Gama-DF, 2025
## 目录
- [摘要](#abstract)
- [引言](#introduction)
- [目标](#objectives)
- [立项依据](#justification)
- [方法论](#methodology)
- [范围与交付物](#scope-and-deliverables)
- [项目开发](#project-development)
- [主要功能](#main-features)
- [架构与数据流](#architecture--data-flow)
- [技术与工具](#technologies-and-tools)
- [测试与证据](#tests-and-evidence)
- [预期结果与指标](#expected-results--metrics)
- [许可证](#license)
- [贡献](#contribution)
- [致谢](#acknowledgments)
- [联系方式](#contacts)
- [附录 / 附件](#appendix--attachments)
## 摘要
Secure Flag 是一个专注于取证网络安全的 Capture The Flag (CTF) 教学环境。该项目交付了两个相互关联的虚构网站 —— **Yaldabaoth-Home**(入口门户)和 **Yaldabaoth-Bank-Corporate**(银行目标)—— 此外还提供了完整的文档和挑战管理器(CTFd — 可选)。
该倡议旨在应对三个核心挑战:
- 网络安全专业人才的高需求
- 学术界实践经验的匮乏
- 解决问题能力的培养
Flag 和线索战略性地分布在页面、电子邮件和 assets 中,旨在通过游戏化教学,教授数字调查、log 分析、逆向工程和网络知识。
## 引言
鉴于学术界缺乏数字安全实践经验以及合格专业人才的短缺,我们设计了一个教学型 CTF,用于模拟金融机构中发生的网络安全事件。该提案结合了实践操作、详尽的技术文档以及结构化的学习路线。
**市场背景:**
- 巴西网络安全专业人才缺口约达 75 万(IBSEC)
- 年轻人对该领域的兴趣日益浓厚,但缺乏实践准备
- 学术理论与职业现实之间需要建立桥梁
**教育方法:**
- 灵感源自金融行业真实案例的挑战
- 技术与认知能力的培养
- 用于体验式学习的安全受控环境
## 目标
### 总体目标
- 构建用于取证网络安全培训的实用且安全的环境
- 提供有文档支持且可扩展的挑战(初学者 → 中级)
- 产出可供学术用途复用的材料
- 提供便捷的本地部署流程
### 具体目标
- 通过日常职业的实践视角,帮助对安全/取证领域感兴趣的人员
- 通过游戏化激发好奇心并培养解决问题的能力
- 鼓励 IT 学生深入掌握计算机知识
- 测试在 Linux、Windows、编程逻辑、log 分析和网络方面的知识
- 提供实用、有趣且富有教育意义的网络安全体验
## 立项依据
### 针对的问题
1. **专业需求高**:不断增长的市场存在 75 万专业人才的缺口
2. **缺乏实践经验**:传统教学中缺少实践操作机会
3. **技能发展**:需要具备解决问题的能力
### 统计基础
- 据《Correio Braziliense》报道:“网络安全在巴西蓬勃发展,但合格的专业人才仍然短缺”
- IBSEC 数据:巴西面临该领域专家的严重短缺
- 研究表明,87% 的企业在 2023 年遭受过安全事件
### 提议的解决方案
- 将 CTF 作为一种实用且引人入胜的学习工具
- 在受控环境中进行真实的模拟
- 通过进阶挑战逐步培养新人才
## 方法论
### 开发方法
- **案例驱动设计**:灵感源自金融行业真实事件的挑战
- **迭代原型设计**:使用 Figma 进行屏幕设计和用户流程规划
- **渐进式实现**:MVP → 测试 → 优化的持续周期
- **受控环境**:使用本地服务器和容器进行安全测试
- **教学文档**:包含明确目标和上下文提示的详细指南
### 技术术语表
| 术语 | 定义 |
|-------|-----------|
| **CTF** | 训练网络安全的挑战竞赛 |
| **网络安全** | 保护计算机、网络和信息 |
| **取证安全** | 针对网络犯罪的数字调查 |
| **逆向工程** | 分析系统以了解其运作方式 |
| **Log 分析** | 阅读系统记录以进行调查 |
| **Docker** | 用于创建和运行容器的工具 |
## 范围与交付物
### 开发的产品
- **Yaldabaoth-Home**:包含解释性视频和导航的完整 landing page
- **Yaldabaoth-Bank-Corporate**:带有企业邮箱的模拟银行网站
- **Secure Flag CTF 平台**:带有排名系统的挑战管理器
### 文档与工件
- 完整的技术文档(README、指南、报告)
- 部署文件(Docker、配置脚本)
- Figma 原型和测试证据
- 许可证:代码使用 MIT,内容使用 CC BY-NC-SA 4.0
## 项目开发
### Yaldabaoth-Home
**功能**:攻击的起点并用于捕获初始 flag
**主要特点:**
- 设有提供真实促销活动的“最佳优惠”版块
- 设有包含用于逆向工程的电子邮件的“专家团队”版块
- 版块间导航直观
- 具备亮/暗主题切换按钮
### Yaldabaoth-Bank-Corporate
**真实银行环境模拟**
**企业邮件系统:**
- 带有严格验证的登录界面
- 带有交互式电子邮件和线索的收件箱
- 功能:亮/暗模式、导航、登出
- 包含战略性 flag 的虚构员工电子邮件
### Secure Flag CTF 平台
**完整管理系统**
**主要特性:**
- 支持 20 种不同语言
- 由代码控制的注册系统
- 纯个人挑战
- 实时竞技排名
- 响应式且直观的界面
**已实现的界面:**
- 带有解释性视频和规则的首页
- 带有搜索和过滤功能的用户系统
- 带有验证的注册和登录
- 个人资料和可自定义设置
- 带有指标的控制面板
## 主要功能
### 提交系统
- flag 自动验证
- 为用户提供即时反馈
- 每个挑战的递进式评分
### 提示系统
- 上下文提示机制
- 评分的递进式惩罚
- 支持不同的难度级别
### 用户管理
- 由管理员代码控制的注册
- 带有偏好设置的可自定义配置文件
- 排名和分类系统
### 用户体验
- 响应式且易于访问的界面
- 亮色和暗色主题
- 版块间导航直观
- 清晰的验证消息
## 架构与数据流
### 系统架构
Frontend(静态站点) → CTFd(可选) → Database
↓
Yaldabaoth-Home
↓
Yaldabaoth-Bank-Corporate
↓
Flag 提交 → 验证 → 评分
### 操作流程
1. **初始访问**:用户访问 Yaldabaoth-Home
2. **探索**:浏览页面并收集线索
3. **调查**:与企业邮箱和 assets 交互
4. **发现**:通过各种技术寻找 flag
5. **提交**:在 Secure Flag 平台上发送 flag
6. **验证**:系统进行验证并分配积分
7. **排名**:实时更新排名分类
## 技术与工具
### 技术栈
#### Frontend
- **HTML5/CSS3/JavaScript**:Yaldabaoth 静态站点
- **React 18**:Yaldabaoth-Bank-Corporate
- **Vite**:构建工具与开发环境
- **CSS Modules**:组件化样式
#### 基础设施
- **Docker**:容器化与隔离
- **CTFd**:CTF 管理平台
- **GitHub Pages**:静态托管
- **MariaDB/MySQL**:数据持久化
#### 开发
- **Visual Studio Code**:主 IDE
- **Figma**:原型与设计
- **Git/GitHub**:版本控制
- **GitHub Actions**:自动化 CI/CD
### 应用的方法论
- Scrum 开发
- 基于组件的架构
- 严格的安全验证
- 全面的跨浏览器测试
## 测试与证据
### 测试策略
- **响应式**:在桌面设备、平板电脑和移动设备上进行测试
- **安全性**:输入验证和 XSS 保护
- **功能性**:验证所有交互
- **可用性**:评估用户体验
### 主要测试用例
1. **跨浏览器渲染**
2. **表单验证**
3. **Flag 功能**
4. **评分系统**
5. **移动设备上的响应能力**
### 收集的证据
- 所有屏幕的完整截图
- 详细的交互 log
- 手动测试报告
- 验证和评分记录
## 预期结果与指标
### 定性结果
- 适用于 10+ 分类挑战的功能性环境
- 可复用的教育材料
- 为未来扩展奠定坚实基础
- 引人入胜的学习体验
### 成功指标
- **完成率**:>70% 的初学者挑战
- **平均分**:按类别划分的基准
- **参与度**:>5 次提交/用户
- **满意度**:调查得分 >8/10
### 教育影响
- 强化技术技能
- 培养批判性思维
- 为迎接市场的真实挑战做准备
- 培养网络安全领域的新人才
## 许可证
### 双重许可
- **源代码**:MIT License
- **内容与文档**:Creative Commons BY-NC-SA 4.0
### 许可证文件
- `LICENSE` - MIT License 完整条款
- `LICENSE-CC` - CC BY-NC-SA 4.0 完整条款
## 贡献
### 感兴趣的领域
- 新的挑战和类别
- Bug 修复和改进
- 扩展文档
- 翻译为新语言
### 贡献流程
1. Fork 该仓库
2. 描述性分支(`feature/...` 或 `fix/...`)
3. 带有清晰信息的 Commit
4. 带有详细描述的 Pull Request
### 行为准则
- 尊重团队和社区
- 学术和教育焦点
- 技术质量和清晰度
- 完善的文档
## 致谢
**指导教师**:Rômulo Valadares 教授 - 感谢其专业的指导和重要的支持
**机构**:UNICEPLAC - 感谢其提供的学术基础设施和环境
**团队**:项目同事 - 感谢大家倾注的心血与协作
**贡献者**:所有直接或间接支持这一教育倡议的人
## 联系方式
**项目团队**:
- cauan.silva@ads.uniceplac.edu.br
- cauan33XL@proton.me
**指导教师**:
Rômulo Valadares 教授 - UNICEPLAC
**官方仓库**:
- https://github.com/Cauan33XL/yaldabaoth-home-ctf-project
- https://secure-flag-projeto-ctf.vercel.app/
- https://github.com/Cauan33XL/yaldabaoth-email-corporate-ctf-project
## 附录 / 附件
### 执行时间表
**周期**:2025年8月30日 — 2025年12月9日
**主要阶段**:
- 9 月:研究与原型设计
- 10 月:核心
- 11 月:测试与优化
- 12 月:文档编写与交付
### 涵盖内容
- 信息安全
- 攻击模拟
- 取证 Log 分析
- 逆向工程
- 网络分析
### 参考文献
1. CTFTIME - CTF 活动与结构
2. HackerSec - 黑客挑战基础
3. UNB Cybersecurity Club - 教学方法论
4. Correio Braziliense - 市场背景
5. IBSEC - 行业统计数据
标签:CTF平台, OPA, Web应用, 数字取证, 网络安全教育, 自动化脚本, 靶场