LePeanutButter/infosec-practice-labs

# 网络安全基础学术实验室 [](https://github.com/RichardLitt/standard-readme) 为**哥伦比亚工程学院**的**信息安全基础 (FDSI)** 课程开发的配置日志、Shell 脚本、终端输出和学习笔记。 本仓库整合了专注于应用网络安全实践的学术性安全实验和报告。它汇集了关于 Linux 管理、开源情报、威胁建模、Web 渗透测试、漏洞应用模拟以及在受控学习环境中进行的红队/蓝队演练的文档。 ## 目录 - [描述](#description) - [特性 / 涵盖的实验主题](#features--lab-topics-covered) - [仓库结构](#repository-structure) - [前提条件与安装](#prerequisites--installation) - [使用示例](#usage-examples) - [所用技术](#technologies-used) - [作者 / 致谢](#authors--credits) ## 描述 本仓库包含为哥伦比亚工程学院的信息安全基础 (FDSI) 课程精心策划的一系列学术成果。这些材料记录了在逼真但隔离的实验室环境中进行的实践性安全演练、方法论笔记、终端输出以及探索如何识别、验证和缓解安全风险的报告式分析。 内容涵盖 Linux 安全基础概念、开源情报、攻击面分析、易受攻击的 Web 应用程序测试、防御性加固以及结构化的威胁建模。部分实验对比了攻击方与防御方的视角，展示了红队工作流程的发现如何转化为蓝队的缓解措施。 ## 特性 / 涵盖的实验主题 - Linux 基础、系统内部结构、文件系统层次结构和权限模型。 - OverTheWire Bandit 演练和命令行实践。 - 仅使用公开来源的 OSINT 目标识别和可视化分析。 - 基于 Shostack 方法论和 STRIDE 分析的威胁建模。 - 基础的 Web 应用程序渗透测试、侦察、枚举和流量检查。 - 基于 DVWA 的漏洞演示，包括 SQL 注入和 XSS。 - 与 OWASP Top 10 概念对应的 WebGoat 练习。 - 包含利用和缓解阶段的红队与蓝队模拟。 - 安全加固活动，如授权修复、安全头处理和更安全的输入处理。 - 对防御性控制、加密和安全传输机制的分析。 - 使用 Nmap、Burp Suite、Wireshark、SQLMap、Hydra、Metasploit、Docker、Kali Linux 和 pfSense 等行业工具。 ## 仓库结构 ``` . ├── artificial-intelligence-in-cybersecurity/ │ ├── artificial-intelligence-in-cybersecurity.docx │ └── artificial-intelligence-in-cybersecurity.pdf ├── basic-pentesting-on-web-applications/ │ ├── basic-pentesting-on-web-applications.docx │ └── basic-pentesting-on-web-applications.pdf ├── comprehensive-threat-modeling-based-on-shostack-methodology-stride/ │ ├── comprehensive-threat-modeling-based-on-shostack-methodology-stride.docx │ └── comprehensive-threat-modeling-based-on-shostack-methodology-stride.pdf ├── implementation-of-dvwa-on-kali-linux/ │ ├── implementation-of-dvwa-on-kali-linux.docx │ └── implementation-of-dvwa-on-kali-linux.pdf ├── linux-fundamentals-fhs-and-overthewire-bandit/ │ ├── linux-fundamentals-fhs-and-overthewire-bandit.docx │ └── linux-fundamentals-fhs-and-overthewire-bandit.pdf ├── red-team-vs-blue-team/ │ ├── red-team-vs-blue-team.docx │ └── red-team-vs-blue-team.pdf ├── target-identification-and-visual-analysis/ │ ├── target-identification-and-visual-analysis.docx │ └── target-identification-and-visual-analysis.pdf └── webgoat-simulation-and-owasp-top-10-application/ ├── webgoat-simulation-and-owasp-top-10-application.docx └── webgoat-simulation-and-owasp-top-10-application.pdf ``` ### 文件夹说明 - `artificial-intelligence-in-cybersecurity/` 记录了关于人工智能概念如何与网络安全交叉的学术研究。 - `basic-pentesting-on-web-applications/` 涵盖了针对通过 ngrok 暴露的 Spring Boot 和 PostgreSQL 后端进行的侦察、枚举、流量拦截和 OWASP Top 10 验证。 - `comprehensive-threat-modeling-based-on-shostack-methodology-stride/` 记录了使用 STRIDE 和受 Shostack 启发的分析进行的威胁建模工作。 - `implementation-of-dvwa-on-kali-linux/` 记录了在基于 Kali 的实验室环境中部署和使用 DVWA 的过程。 - `linux-fundamentals-fhs-and-overthewire-bandit/` 专注于 Linux 内部原理、FHS 标准、权限以及 Bandit 级别 0 到 15。 - `red-team-vs-blue-team/` 展示了围绕 DVWA 进行的攻击和防御安全活动，包括 SQL 注入、XSS、加密、Wireshark 分析和 IPSec VPN 保护。 - `target-identification-and-visual-analysis/` 包含用于目标识别、来源关联和可视化的 OSINT 练习。 - `webgoat-simulation-and-owasp-top-10-application/` 记录了 WebGoat 练习以及对具有访问控制和配置发现的 Smart Trip 后端的安全审查。 ## 前提条件与安装 本仓库以文档为先，因此阅读它不需要构建步骤或包安装。要查看和复现实验，您可能需要以下工具（具体取决于您想要研究的实验）： - Microsoft Word、LibreOffice 或其他 `.docx` 查看器。 - 用于查看渲染报告的 PDF 阅读器。 - 用于 Linux 和渗透测试练习的 Kali Linux。 - 用于使用 WebGoat 或容器化服务的实验的 Docker Desktop。 - VirtualBox 或类似虚拟机监控程序，用于基于虚拟机的场景。 - 报告中常提及的工具：Nmap、Burp Suite、Wireshark、SQLMap、Hydra、Metasploit、CyberChef、pfSense 和 ngrok。 如果您想在 Windows 上本地打开资料： ``` git clone https://github.com/LePeanutButter/infosec-practice-labs.git cd Seguridad code . ``` 在 Windows 上安装 LibreOffice 以查看或编辑 `.docx` 文件： ``` winget install --id TheDocumentFoundation.LibreOffice -e ``` ## 使用示例 直接从其文件夹打开任何实验报告： ``` Start-Process ".\linux-fundamentals-fhs-and-overthewire-bandit\linux-fundamentals-fhs-and-overthewire-bandit.pdf" Start-Process ".\basic-pentesting-on-web-applications\basic-pentesting-on-web-applications.docx" Start-Process ".\webgoat-simulation-and-owasp-top-10-application\webgoat-simulation-and-owasp-top-10-application.pdf" ``` 从 PowerShell 检查仓库结构： ``` Get-ChildItem -Recurse ``` 报告中引用的典型实验复现命令包括： ``` docker run -it -p 127.0.0.1:8080:8080 webgoat/goatandwolf:v8.2.0 ngrok http 80 nmap -sV -Pn sqlmap -u "http:///endpoint?id=1" --batch ``` ## 所用技术 - 用于命令行实践和系统检查的 Bash 和 PowerShell。 - 用于操作性安全实验的 Linux 和 Kali Linux。 - FHS、`/proc`、系统内部结构、权限和 UNIX 文件语义。 - 用于本地实验室部署的 Docker 和 Docker Compose。 - 用于加密演示的 OpenSSL 和 CyberChef。 - 用于网络流量检查的 Wireshark。 - 用于 Web 和网络测试的 Nmap、Burp Suite Community Edition、HTTPX、Dirsearch、SQLMap、Hydra 和 Metasploit Framework。 - 用作故意存在漏洞的训练应用程序的 DVWA 和 WebGoat。 - 用于防御性网络练习的 pfSense 和 IPSec VPN 概念。 - OSINT 工作流程和公开来源关联技术。 - STRIDE 和 Shostack 式威胁建模。 ## 作者 / 致谢 - [@lRicardol](https://github.com/lRicardol) - [@LePeanutButter](https://github.com/LePeanutButter)

标签：AES-256, AI合规, Burp Suite, CTI, DVWA, meg, Nmap, OWASP Top 10, Shell脚本, STRIDE模型, WebGoat, Web渗透, 信息安全, 威胁建模, 学术实验室, 安全教育, 安全测试, 安全测试工具, 应用安全, 攻击性安全, 漏洞评估, 版权保护, 红蓝队演练, 终端操作, 网络安全, 虚拟驱动器, 请求拦截, 隐私保护