洞一

01CyberSecurity

学了那么多久的web安全还是在src挖不到漏洞？

领导安排的授权网站迟迟没有结果？

熬夜写了那么久的代码，在交付系统时领导却说我的系统漏洞多多？

既然你有以上这些疑问，

那此时应该让我闪亮登场。

炼石计划之漏洞仿真环境练习开始啦

耐心看完，你会觉得还蛮有趣的

#01

炼石计划

什么是炼石计划

炼石计划是由“洞一CyberSecurity”团队推出的漏洞实战教程。

该计划已跟多个公众号达成合作，会持续监督炼石计划课程的分享。

既然大家参与了，我们就要把这事做好。

炼石计划。炼石完成，方能补天。

炼石计划核心三大内容：

原创WEB安全入门文章课程，漏洞复现课程，漏洞仿真环境练习课程。

1、关于原创WEB安全入门文章课程（已分享80%）：

原创WEB安全入门课程，零基础朋友可以很快上手学习。有一点基础的朋友可以巩固一下。

具体课程如下图所示：

2、关于漏洞复现课程（已全部分享完毕）：

学完WEB安全入门课程，有必要进一步动手练习。漏洞复现是提升自己很有必要的一个过程。漏洞复现课程一共15套（文章加视频），跟着教程练习，让你深入理解WEB安全漏洞。

3、关于漏洞仿真环境练习课程（如火如荼进行ing）：

简单来说，就是让大家在主流的Java框架搭建的网站（比如：springboot，springcloud等）下进行漏洞挖掘的练习，以及代码审计的练习。从而了解在主流Java框架环境下是如何挖掘漏洞的，如何进行代码审计的。

每期会给大家网站源代码，并交给你如何大家，在自己的电脑下搭建好环境，然后进行随心所欲的练习。

关于“漏洞仿真环境”，下面有详细介绍。

关于炼石计划其他内容，可点击下方链接进行了解

点我了解炼石计划详情，点我点我点我

大家各用自己炼石能力，尽自己微薄之力共同补上网络安全边疆这片天。

开启了这一计划，目的是为了让大家能提升真正的漏洞挖掘能力和代码审计能力。

#02

漏洞仿真环境

Java主流框架的更新迭代，

让大家面对Java开发的网站不知从何下手。

基于此

"漏洞仿真环境"，是采用Java主流框架并整合比较流行的组件所开发的一个真实系统，但又特意构造了一些存在漏洞的功能点，模拟还原出开发人员因粗心或安全意识不足导致系统存在安全漏洞的真实环境，以便于大家进行漏洞挖掘练习和代码审计的学习。

了解学习主流架构系统网站对于提升自己漏洞挖掘和代码审计两者硬实力是非常有必要的。

漏洞仿真环境练习计划循序渐进，总共开设六期课程，每期构造不同的漏洞仿真环境，每期都会让你练习到不同的主流漏洞。从黑盒（渗透）和白盒（代码审计）测试两个角度出发，互相辅助，让你更有所获。

每期练习结束，附带讲解视频，从搭建开始介绍，到相关框架或组件介绍，然后进入黑盒和白盒测试的思路讲解，最后讲讲如何修复。

让我来打通你的任督二脉。

给自己一些时间，

让自己成为一名优秀的白帽子。

进入正题

#03

任务背景

随我正式进入仿真漏洞环境第一期吧

为了让练习更有真实感，

写了个任务背景，然后就是玩法说明

我是一名刚刚毕业的女程序猿，技术不是很过关还有些粗心。前一阵，老板要求我做一款后台管理系统，还强调要用到目前比较流行的技术和框架，比如Spring Boot，Springsecurity，Mybatis等等。

作为新时代农民工，领导的话就是圣旨。在我熬了几个日夜，掉了一撮又一撮头发后，终于开发完了后台管理系统。美滋滋的我，拿去成品给领导演示，领导一个致命的问题让我陷入了沉思。他说你的后台管理系统安全性怎么样？如果遇见黑客攻击你是怎么防御的？

连代码还写不利索的我，让我再将管理系统的安全性提高，那岂不让我秃头？

万般无奈下，经历了百度谷歌的辗转。最终让我了解到了你们这群厉害牛鼻让人崇拜的白帽黑客小哥哥们~

因此，恳求正义的白帽黑客们，帮帮我，帮我的系统找找安全漏洞吧。

我还没有男朋友，我不想秃头，呜呜呜呜~

以上任务背景纯属虚构，如有雷同，纯属巧合。就是为了有个代入感。哈哈。