点击上方蓝字,关注青藤安全公众号
作者丨王敏伟(微信号txsser)
自从2025制造文件下发后,高端人才的培训市场其实也是我看好的一个方向,这是一块巨大的蛋糕。加之《网络安全法》的实施,登及保护合规之类的就不说了,总之甲方的培训还是很大的一个市场。在这个市场下,甲方的需求和出发点也各有差异。本文主要来讲解下主流安全培训产品,也就是常见的xx攻防实验室,xx实验平台的内容。
一般的培训实验平台进入后主要界面如下:
一般情况下,实验平台主要分几个模块:
-
课程模块
-
实验模块
-
比赛模块
-
题库、日志、虚拟机管理
1
首先,课程模块一般是介绍课程的,课程的内容主流都是大同小异,从编码到编程,代码审计,Web常见的漏洞,移动安全,ctf技巧,安全意识等。ppt的质量也大同小异,由于编写课件的人大部分都是公司的技术人员,导致ppt的质量也不高,谈到课程,我个人认为使用word等直白的描述方式会比ppt更好的表达课程的内容,毕竟ppt不能展示大段的文字,那样的话也失去了ppt的意义。关于课程内容以及大纲,后续我会专门写一个帖子来介绍,因为大纲的设计也是一个很有意思的过程,大纲的设计涉及到了受众,也就是被培训人员的水平和职业岗位。通常的界面如下图
2
然后就是实验模块,实验模块顾名思义就是可以操作实验的模块,其中包含了主流的你可以听到的一些漏洞的实验,例如struts2系列的漏洞的实验,常见的开源的漏洞的实验,由于一些代码的授权范围问题,导致这一系列的平台只能使用开源的web应用来搭建环境,当然,因为这是运行在openstack或者是vmware上的应用,他的规模和环境与真实开发的环境和企业线上的规模还是有一定差异的。但是作为漏洞的原理和理解度上来说是一样的。漏洞的本质不会发生变化。由于产品的更新速度并没有非常快,导致很多java应用的漏洞并不能直接享受到,例如最近一个月的java rce的cve,在漏洞的丰富程度上可能还不如开源的vulhub。往往不能享受到最新的实验,这是一个非常不好的点。还有一个常见于乙方实验室产品的问题就是:实验和漏洞文档技术思维过重,难以让人理解。这个问题我在vulhub上也看到了,要知道,这个实验平台的目的是什么?应该是培训员工,让他们更好的理解安全。但是员工的水平层次不齐,而这些安全实验室的实验文档复杂程度往往只能让他们自己看的懂,这也是“技术思维”过重,并且缺乏互联网产品思维的结果。例如vulhub的实验文档
可以看到出现了burpsuite工具,但是对于一个开发人员或者水平较差的人员来说,他压根就没看到过这个软件(水平好的人还需要培训吗?)并且没有解释软件的来源,使用方法和为什么这样操作就会让黑客控制和接管WEB应用了。
3
比赛模块。比赛模块中一般是提供比赛的选项,简单的来说就是可以自己创建一场比赛来模拟ctf。有利于企业在半年或者1年的内考核测评。通常的ctf主要分为2种,一种是普通的题目,也就是一题一题做题;另一种是对抗类,即我攻击你的机器,你攻击我的机器,拿到shell后获得一个flag,在规定时间段内得分高的胜出。这样的比赛规模受限于服务器的硬件。根据我的经验,一台标配的dell服务器能容纳的规模为20-30台虚拟机。如果在多人操作实验、做题等情况下,可能效果不能满足。市场上的价格在20-50w不等。通常会送培训服务,当然这是题外话。通常的界面如下图
4
剩下的就是管理模块,管理模块大家都差不多,主要是针对虚拟机、管理员等操作。就不详细介绍了
下一篇见:)
本文始发于微信公众号(xsser的博客):安全培训平台选型(1)—培训平台模块
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论