DaniSam-STU/security-lab
GitHub: DaniSam-STU/security-lab
一个基于 Next.js 构建的交互式 Web 安全学习平台,通过真实攻击演示与代码对比帮助开发者理解并修复 XSS、SQL 注入等常见漏洞。
Stars: 0 | Forks: 0
# 🔴 SecLab 安全游乐场
一个交互式的网络安全学习平台,用于探索真实的 Web 漏洞及其安全缓解措施。
## 🖼️ 项目预览
## 🚀 在线演示
👉 **[seclab.vercel.app](https://seclab.vercel.app)** ← 在下方部署你自己的实例
## 🧩 包含的实验室
| 实验室 | 漏洞 | CWE | 严重程度 |
|-----|--------------|-----|----------|
| [XSS](/xss) | 跨站脚本攻击 | CWE-79 | 高危 |
| [SQLi](/sqli) | SQL 注入 | CWE-89 | 严重 |
| [CSRF](/csrf) | 跨站请求伪造 | CWE-352 | 中危 |
| [IDOR](/idor) | 不安全的直接对象引用 | CWE-639 | 高危 |
每个实验室包含:
- ✅ **实时攻击演示** — 真正有效的 payload
- ✅ **对比分析** — 漏洞代码与安全代码对比
- ✅ **内联代码片段** — 查看精确的修复方案
- ✅ **真实的 API 路由** — 非模拟的,真实的 Next.js 后端
## 🛠️ 技术栈
- **Next.js 14** (App Router)
- **TypeScript**
- **better-sqlite3** (内存数据库)
- **CSS Modules** (无 UI 框架)
- 部署在 **Vercel**
## 💻 本地运行
```
git clone https://github.com/YOUR_USERNAME/security-lab.git
cd security-lab
npm install
npm run dev
```
打开 [http://localhost:3000](http://localhost:3000)
## 🚢 部署到 Vercel
### 选项 1 — Vercel CLI
```
npm i -g vercel
vercel --prod
```
### 选项 2 — GitHub 集成
1. 推送到 GitHub
2. 前往 [vercel.com/new](https://vercel.com/new)
3. 导入此仓库
4. 点击 **Deploy** — 无需环境变量!
## 📁 项目结构
```
security-lab/
├── app/
│ ├── page.tsx # Landing page
│ ├── xss/page.tsx # XSS lab
│ ├── sqli/page.tsx # SQL Injection lab
│ ├── csrf/page.tsx # CSRF lab
│ ├── idor/page.tsx # IDOR lab
│ └── api/
│ ├── xss-vulnerable/ # Raw innerHTML route
│ ├── xss-secure/ # Escaped output route
│ ├── sqli-vulnerable/ # String concat SQL route
│ ├── sqli-secure/ # Parameterized query route
│ ├── csrf-vulnerable/ # No token check route
│ ├── csrf-secure/ # Token validated route
│ ├── users-vulnerable/ # No auth check route
│ └── users-secure/ # Ownership check route
├── components/
│ └── LabShell.tsx # Shared lab layout
└── lib/
└── db.ts # In-memory SQLite setup
```
## ⚠️ 免责声明
## 📚 学习资源
- [OWASP Top 10](https://owasp.org/www-project-top-ten/)
- [PortSwigger Web Security Academy](https://portswigger.net/web-security) (免费)
- [MITRE CWE](https://cwe.mitre.org)
- [HackTheBox](https://www.hackthebox.com)
- [TryHackMe](https://tryhackme.com)
## 📄 许可证
MIT — 可自由用于学习和教学。
## 👨💻 作者与联系信息
- DAani Sam
## ⭐ 支持
如果你觉得这个项目有用,欢迎在 GitHub 上给它点个 ⭐。
标签:CISA项目, TypeScript, Web安全, 安全插件, 安全靶场, 漏洞演示, 网络安全, 自动化攻击, 蓝队分析, 隐私保护