CYBER DEFENSE TRAINING / 2026

网络世界没有绝对安全,
只有持续进化的防线。

在虚拟世界中体验攻防对抗,在真实开发中守护网络安全。通过安全模拟、案例拆解与互动挑战,建立可落地的防御思维。

开始安全挑战 查看实验地图
✓ 无真实攻击代码✓ 本地安全模拟✓ 防御优先
guard-console — zsh
THREAT MONITOR
PROTECTED
0核心攻击类型ATTACK VECTORS
0交互安全实验INTERACTIVE LABS
0知识检测题目QUIZ QUESTIONS
0纵深防御层级DEFENSE LAYERS
01FOUNDATION

先理解安全目标,
再设计每一道防线

网络攻防技术研究攻击原理、防御策略与安全管理。攻击者寻找系统边界,防御者通过认证、访问控制、审计、加密与修复降低风险。

CONFIDENTIALITY

机密性

防止数据被未授权人员读取。密码、银行卡号与身份信息必须被妥善保护。

数据加密 权限控制
INTEGRITY

完整性

防止数据被非法修改。订单金额、账户余额与成绩记录需要保持可信。

数字签名 操作审计
AVAILABILITY

可用性

保证系统持续、稳定地提供服务,避免异常流量让真实用户无法访问。

容灾备份 流量治理
ATTACK SURFACE
攻防映射矩阵
DEFENSE CONTROL
弱口令尝试密码复杂度检测身份认证
恶意脚本输入HTML 转义 + CSP输入安全
伪造敏感请求Token + SameSite请求可信
异常访问流量限流 + 防火墙服务韧性
漏洞利用风险补丁 + 安全审计持续治理
02THREAT INTELLIGENCE

识别常见 Web 风险

只展示风险原理与防御策略,不提供真实攻击步骤。点击标签切换威胁档案,并完成对应的安全实验。

HIGH RISK

SQL 注入

输入被直接拼接进查询语句时,可能改变数据库原有查询逻辑,导致认证绕过、信息泄露或数据破坏。

参数化查询最小权限隐藏报错输入校验
LAB 01 / 代码安全判断
query = "SELECT * FROM users WHERE name='" + userInput + "'"

这段伪代码是否安全?

HIGH RISK

XSS 跨站脚本

未经处理的外部内容被直接渲染时,恶意脚本可能在其他用户的浏览器中执行,造成页面篡改或信息窃取。

HTML 转义CSPHttpOnly安全渲染
LAB 02 / 安全留言板
留言将在这里经过安全处理后展示
MEDIUM RISK

CSRF 请求伪造

攻击者利用用户已登录状态,诱导浏览器在不知情时发起敏感请求。防御关键是验证请求来源和不可预测的 Token。

CSRF TokenSameSite来源检查二次确认
LAB 03 / 可信请求判断
HIGH RISK

弱口令风险

短、常见、重复使用或包含个人信息的密码更容易被猜中。长密码、独立凭据与多因素认证是有效防线。

长度优先字符多样MFA失败限次
LAB 04 / 密码强度检测
0 分 · 等待输入建议长度至少 12 位
HIGH RISK

DDoS 拒绝服务

大量异常请求占用网络、计算或连接资源,使正常用户无法获得服务。重点在于识别、吸收与限制异常流量。

CDN流量清洗访问限频负载均衡
LAB 05 / 防火墙限流模拟
0REQUESTS / 5 SEC
03SECURE BY DESIGN

把安全写进开发流程

安全不是上线前的最后一次检查,而是从输入、身份、权限、数据到部署的持续设计。

AUTH_CHECKLIST.yml5 CONTROLS

安全登录检查清单

点击控制项查看实施建议。

使用经过验证的密码哈希算法并配置合理成本,绝不能以明文保存密码。

对账号与来源实施渐进延迟或限流,同时记录异常登录用于告警。

统一返回“账号或密码错误”,避免泄露账号是否存在及后台技术细节。

按最小权限原则授权,并在服务端对每次敏感操作重新验证权限。

管理员与高价值账号优先启用多因素认证,降低凭据泄露后的风险。

FORM_VALIDATION.jsLIVE LAB

模拟注册安全检测

数据不会被发送或保存。

UPLOAD SECURITY

文件上传风险判断

选出可能带来执行风险的文件,再提交扫描。

等待扫描…
用户输入UNTRUSTED
输入校验VALIDATE
参数化查询PARAMETERIZE
最小权限数据库LEAST PRIVILEGE
安全返回ENCODE
04MISSION CENTER

完成网络安全挑战

五个防御关卡会记录在当前浏览器中。完成全部任务,即可解锁“网络安全守护者”证书。

MISSION PROGRESS0 / 5
01 密码守门员02 钓鱼侦探03 防火墙工程师04 日志分析员05 安全开发者
CHALLENGE 02

钓鱼网站识别

逐一判断网址。重点检查主域名拼写、相似字符与诱导词。

请选择一个网址进行判断
CHALLENGE 03

安全防线匹配

先点攻击,再点对应防线。

已匹配 0 / 4
CHALLENGE 04

日志异常分析

找出最需要优先调查的日志。

多条日志需要结合上下文分析
KNOWLEDGE CHECK

网络安全知识答题

1 / 10

选择答案后进入下一题
05DEFENSE TOOLKIT

认识安全分析工具

以下工具仅用于合法授权的学习、测试与防御研究。任何测试都必须获得明确授权。

01
W

Wireshark

观察网络通信数据,理解协议与定位异常流量。

NETWORK ANALYSIS
02
N

Nmap

在授权范围内了解网络资产与服务暴露情况。

ASSET DISCOVERY
03
B

Burp Suite

辅助观察和分析 Web 应用请求与安全控制。

WEB TESTING
04
K

Kali Linux

集成多种安全研究工具的学习与测试系统。

SECURITY PLATFORM
05
V

Nessus / OpenVAS

发现已知漏洞与配置风险,辅助制定修复计划。

VULNERABILITY
06CASE FILES

从事故倒推防线

每个安全事件都能还原为“原因—后果—控制缺口”。点击案例查看防御启示。

CASE 001

弱口令导致后台失守

+

原因:管理员使用生日、姓名拼音或常见数字作为密码。

后果:后台内容被修改、数据被删除或用户信息泄露。

  • 启用高强度独立密码与 MFA
  • 增加登录限流和异常告警
  • 限制后台访问来源
CASE 002

留言板存在 XSS 风险

+

原因:直接渲染用户留言,没有进行输出转义。

后果:恶意内容可能影响其他访问者的浏览器页面。

  • 根据输出上下文安全编码
  • 配置 CSP 与 HttpOnly Cookie
  • 不信任任何外部输入
CASE 003

仿冒页面诱导登录

+

原因:相似域名与紧急话术降低用户警惕。

后果:账号凭据泄露,并可能引发连锁损失。

  • 手动输入重要网站地址
  • 检查主域名而非只看 HTTPS
  • 开启账号二次验证
CASE 004

异常流量造成服务中断

+

原因:流量突增耗尽服务器连接或计算资源。

后果:正常用户无法访问,核心业务中断。

  • 部署 CDN、限流和负载均衡
  • 持续监控流量基线
  • 预先制定应急响应流程
07DEFENSE IN DEPTH

四层纵深防御体系

没有单一控制可以阻止所有风险。成熟安全体系让多个独立防线相互补位。

04

数据安全保护

加密 · 备份 · 脱敏 · 分级 · 异常告警

CORE ASSETS
03

系统与网络防护

防火墙 · 入侵检测 · 日志审计 · 漏洞修复

INFRASTRUCTURE
02

网站开发安全

输入校验 · 权限控制 · 参数化查询 · 上传限制

APPLICATION
01

用户安全意识

识别钓鱼 · 拒绝弱密码 · 谨慎下载 · 及时报告

HUMAN LAYER
08LEARNING PATH

从 Web 开发者到安全守护者

以开发基础为起点,逐步理解风险、实施防御,最后完成综合安全实践。

PHASE01

基础入门

HTML / CSS / JavaScript
计算机网络 · 操作系统 · 数据库

PHASE02

Web 安全

SQL 注入 · XSS · CSRF
文件上传 · 登录认证安全

PHASE03

安全防御

输入处理 · 权限管理 · 日志分析
数据加密 · 防火墙基础

PHASE04

综合实践

设计安全网站与表单
分析日志 · 完成安全测试报告

YOUR MISSION STARTS NOW

安全不是一个功能,
而是一种持续的工程习惯。

从每一次输入校验、每一条审计日志、每一个权限判断开始,把防御思维带入真实开发。

继续完成挑战