希望可以帮助大家拓宽自己的安全学习、研究范围,多了解一些提升自己安全的途径。
本文作者:i春秋签约作家——夏之冰雪
恩,首先我分享国内top 3的最重要途径:
1. i春秋学院课程,里面有大量的精品课程,值得各阶段的人去学习。
2. i春秋论坛,恩,当你看到这篇帖子时,充分说明这个途径你已经掌握了。
3. i春秋各类qq群,一个人是寂寞的,一群人的学习和分享才会有基情。
除了top3,还有没有其他的途径呢?
对于新人而言,除了将安全领域的知识学扎实,还要尽量多的玩一玩各种安全工具,正所谓玩的6了,自然就会成长。
可以通过很多渗透集成框架,进行深入学习,很多框架或者操作系统集成了多款安全工具。
比如kali,尝试对kali的所有工具做研究,肯定会丰富自己的知识。
再比如,有这么一款工具——PentestBox,是一款Windows平台下预配置的便携式开源渗透测试环境。可以让我们很舒适的在windows下用很多工具,包括:
1. sqlmap
数据库注入检测神器,应该不用介绍了
2. Burp Suite
web请求分析及攻击工具
3. Commix
命令注入工具,蛮小巧精致的,一旦发现命令注入,让你非常舒适的“可视化控制”对方。
4. dotdotpwn
模糊遍历网站风险目录,还可以解析* NIX passwd文件提取用户的主文件夹和搜索不同的常见文件的组合。
5. fimap
一款本地及远程的文件包含漏洞检测工具,集成了google语法搜索,对于我们围墙里的孩子,用起来比较尴尬。
6. golismero
开源的Web扫描器,它不但自带不少的安全测试工具,而且还可导入分析市面流行的扫描工具的结果,比如Openvas,Wfuzz, SQLMap, DNS recon等,并自动分析。
7. jSQL
一款Java开发的轻量级远程服务器数据库注入漏洞测试工具。
不过有了sqlmap,这个用处我觉得一般。
8. nikto
网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs.
9. wpscan
wordpress安全检测神器,推荐。
10. 等等
由于集成了很多工具,所以体积有些大,不过也是值得下载的。下载下来不需要安装,所有依赖pentestbox都尽可能装好了,默认情况下,我们只需要解压,就可以开始安全工具测试之旅了。
官网:https://tools.pentestbox.org/
由于下载可能较大,提供一个百度网盘地址:
https://pan.baidu.com/s/1hrLTZzI
再给一个网址:
https://linuxsecurity.expert/security-tools/top-100/
这里面集成了很多出名的安全工具,强烈推荐。
经常关注github上面的安全项目,有些项目作者会持续更新的,这类项目会根据最新的安全漏洞进行持续跟踪和升级,方便我们使用,比如:
ssl漏洞自动扫描
https://github.com/hahwul/a2sv
学着自己搜集一些安全咨询网站和blog,进行rss订阅。如果太懒,也可以看看别人的,比如有些人会汇总每日安全动态:
大家都有什么好的学习研究途径,有哪些比较好的网址、项目,欢迎提出来。
以上,仅抛砖引大佬们的玉。
2017-08-31 20:38 追加:
android安全,有人专门收录整理了详细的资料,包括:
android 在线分析大全、动态/静态分析工具集、app漏洞扫描系列、fuzz测试、漏洞汇总等。
地址(强烈推荐):https://github.com/ashishb/android-security-awesome
而对于php安全,也有很多好用的开源工具值得研究:
https://github.com/ezyang/htmlpurifier
https://github.com/psecio/iniscan
https://github.com/defuse/php-encryption
https://github.com/jenssegers/optimus
总之,不要只局限于中文资料,和exe工具,要多看看github,github上面有非常多值得学习的安全工具。
当然,别忘了分享到论坛里哦~