初始化: Web安全攻防知识库

- 靶场环境: DVWA/WebGoat/Pikachu/BWAPP/SQLi-Labs/XSS-Labs - SQL注入工具: sqli-scanner.py, blind-sqli.py, sqli-exploit.go - XSS工具: xss-fuzzer.py, xss-scanner.go - 认证攻击: web-brute.py, jwt-cracker.py - 服务端安全: port-scanner.py, tls-scanner.py - 防御配置: nginx-hardening.conf - 案例研究: 福建政采网安全评估报告 (13份) - 同步脚本: sync-gitea.sh
2026-03-16 17:10:23 -07:00
--- a/README.md
+++ b/README.md
@@ -0,0 +1,95 @@
+# Web 安全与服务器攻防知识库
+
+> **本地靶场实战 | 攻击工具开发 | 防御系统设计**
+
+## 📚 知识库结构
+
+```
+websafe/
+├── 00-environments/          # 靶场环境 (DVWA/WebGoat/Pikachu/BWAPP)
+├── 01-sql-injection/         # SQL注入攻防
+├── 02-xss/                   # XSS攻防
+├── 03-authentication/        # 认证攻击 (暴力破解/JWT/Session)
+├── 04-server-security/       # 服务端安全 (端口扫描/TLS/配置)
+├── 05-defense/               # 防御系统 (WAF/安全代码/加固)
+├── 06-case-studies/          # 案例研究
+└── scripts/                  # 工具脚本
+```
+
+## 🎯 靶场环境
+
+| 靶场 | 端口 | 漏洞类型 |
+|------|------|---------|
+| DVWA | 8080 | SQL注入/XSS/命令注入/文件上传 |
+| WebGoat | 8081 | OWASP Top 10 / JWT / 认证 |
+| Pikachu | 8082 | SQL/XSS/CSRF/SSRF/文件包含 |
+| BWAPP | 8083 | 100+ 漏洞类型 |
+
+启动所有靶场:
+```bash
+cd 00-environments
+docker-compose up -d
+```
+
+## 🛠️ 攻击工具
+
+### SQL注入
+- `sqli-scanner.py` - 自动检测SQL注入点
+- `blind-sqli.py` - 时间/布尔盲注利用
+- `sqli-exploit.go` - 高性能注入利用
+
+### XSS
+- `xss-fuzzer.py` - XSS Payload模糊测试
+- `xss-scanner.go` - 批量扫描
+- `csp-bypass.sh` - CSP绕过测试
+
+### 认证攻击
+- `web-brute.py` - Web暴力破解
+- `jwt-cracker.py` - JWT弱密钥破解
+- `jwt-forge.go` - JWT伪造
+- `session-hijack.py` - 会话劫持
+
+### 服务端安全
+- `port-scanner.py` - 多线程端口扫描
+- `tls-scanner.py` - TLS配置审计
+- `waf-detect.py` - WAF识别
+
+## 🔒 防御系统
+
+- **WAF规则**: ModSecurity / Nginx WAF
+- **安全代码**: Python / Java / PHP
+- **服务器加固**: Nginx / Apache / Docker
+
+## 📖 使用方法
+
+```bash
+# 1. 克隆仓库
+git clone https://git.hk.hao.work/hao/websafe-kb.git
+
+# 2. 启动靶场
+cd websafe-kb/00-environments
+docker-compose up -d
+
+# 3. 运行攻击工具
+cd ../01-sql-injection/tools
+python3 sqli-scanner.py -u http://localhost:8080/vulnerabilities/sqli/
+
+# 4. 查看利用文档
+cat exploitation/dvwa-sqli.md
+```
+
+## 📋 文档格式
+
+每个漏洞类型包含:
+1. **漏洞原理** - 技术背景
+2. **攻击工具** - 完整代码
+3. **利用步骤** - 详细步骤
+4. **防御方案** - 修复代码
+
+## ⚠️ 免责声明
+
+本知识库仅用于**授权的安全测试**和**安全教育**。未经授权对真实系统进行测试是违法行为。
+
+## 📜 License
+
+MIT License