nikolap994/foillab

# FoilLab 专注于网络安全和 IoT 的每周 CTF 挑战平台 —— 包含 Write-up、排行榜和不断壮大的社区。 ## 目标 1. **在细分领域建立知名品牌**，在网络/IoT CTF 这一缺乏直接专业竞争对手的利基市场中脱颖而出 2. **通过 Write-up 带动自然流量** —— 每篇文章都针对长尾 SEO 关键词，并随着时间的推移积累权威性 3. **组建一个由技术用户组成的社区**，使他们自然成为 FoilGuard 和 FoilVault 的早期采用者 4. **开启 B2B 机会** —— 企业培训套餐、NIS2 合规演练、赞助 ## 目标受众 | 细分群体 | 描述 | |---------|-------------| | **主要** | 专注于网络/IoT 的安全爱好者和学生（Wireshark、固件分析、日志取证） | | **次要** | 寻求在工作之外进行实操练习的初级安全工程师 | | **B2B（长期）** | 寻求企业培训场景的安全团队和公司（NIS2、ISO 27001） | ## 技术栈 | 层级 | 技术 | 原因 | |-------|------------|-----| | Frontend | **Astro**（静态站点） | 快速、对 SEO 友好、极简的 JS —— 非常适合内容密集型网站 | | 样式 | **Tailwind CSS** | 开发快速，设计一致 | | Backend | **Node.js** + Express | Flag 验证、排行榜 API | | 数据库 | **SQLite** → PostgreSQL | 初期简单，扩展时易于迁移 | | 认证 | **GitHub OAuth** 或邮箱魔法链接 | 无密码，降低注册阻力 | | 托管 | **Hetzner VPS** | 便宜、可控、符合欧盟数据驻留要求 | | 文件存储 | **Cloudflare R2** 或 MinIO | S3 兼容的对象存储，用于存放 pcap/固件文件 | ## 挑战形式 ``` Monday → Challenge published (scenario description + file downloads) Sunday → Flag submission deadline Next Mon → Write-up published + leaderboard updated ``` **挑战类型：** - Pcap 分析（Wireshark）—— 找出异常，识别攻击 - IoT 固件逆向 —— binwalk、strings、硬编码凭证 - 日志取证 —— 包含隐藏事件的 syslog / netflow - 网络重构 —— 从数据包捕获中重建发生过的行为 ## 安全标准 - **强制 HTTPS** —— TLS 1.3、HSTS 头部、自动从 HTTP 重定向 - **Flag 验证**：flag 以 **bcrypt 哈希**存储（绝不使用明文）—— 比较操作始终在恒定时间内完成，以防止时序攻击 - 在提交 endpoint 上进行**速率限制**（每个 IP 每分钟最多尝试 10 次）以防止暴力破解 - 在所有 POST endpoint 上提供 **CSRF 防护** - **SQL 注入防护** —— 仅使用参数化查询，不进行字符串拼接 - 在服务器前端部署 Cloudflare WAF，用于 DDoS 和机器人防护 ## 与其他 Foil 项目的集成 - **FoilGuard** 扩展程序的弹窗包含指向当前活跃挑战的链接 - CTF 社区 = **FoilVault** 的 Beta 测试者和早期采用者

标签：Astro, CTF平台, MITM代理, 固件逆向, 日志取证, 测试用例, 物联网安全, 网络安全, 隐私保护