先说一下背景,最近我私人博客在做一个学习资源模块。
前言
因为整理的还不是很完善,所以本片文章整理出来的学习资源并不是完整版,学习资源会及时在博客上更新,有需要的话可以持续关注我的博客。
博客学习资源地址
https://m1nzhi.xyz/study/
因为用的Github page+cloudflare cdn,国内访问可能不稳定,多多包涵。
废话不多说,先看看已经整理出来的学习资源吧。
安全学习指南
攻防维度
1
攻击性学习资源包括一些漏洞原理、漏洞靶场,防御性学习资源包括一些安全评估模型、安全测试指南、基础的一些漏洞原理。
安全域维度
2
通用维度
3
有些学习资料是是redteam人员的需要具备的基础,也是blueteam需要掌握的,我会放在攻防通用里面。
攻击性学习资源
在线学习资料
1、owasp top 10 2021中文版
链接:
https://owasp.org/Top10/zh_CN
描述:2021年十大web漏洞归类
适合群体:所有安全技术从业者、开发者
安全域:应用安全、数据安全
推荐指数:🌟🌟🌟🌟🌟
2、portswigger Academy
链接:
https://portswigger.net/web-security
描述:burpsuite官方web安全学院,提供了各种漏洞lab、漏洞原理、漏洞利用场景等。
适合人群:web安全工程师、软件安全架构师
安全域:应用安全
推荐指数:🌟🌟🌟🌟🌟🌟
3、PayloadAllThings
链接
https://github.com/swisskyrepo/PayloadsAllTheThings
描述:非常好的学习资源,整理了各种web漏洞,包含漏洞原理、如何利用
适合人群:web安全工程师、软件安全架构师、渗透测试工程师
安全域:应用安全、主机安全、数据安全
推荐指数:🌟🌟🌟🌟🌟
4、hackerone hacktivity
链接:
https://hackerone.com/hacktivity/overview
描述:一个知名众测平台,和以前国内的wooyun差不多,在甲方处理完漏洞之后,白帽子可以申请披露漏洞详情。你能从上面学到别人是怎么挖漏洞的,有可以统计出大家最喜欢挖的都是什么类型的漏洞,跟着大部队走准没错。我上半年统计出漏洞还是权限控制不当的漏洞最多,所以我最喜欢挖越权漏洞了。。
适合人群:白帽子、安全架构师、web安全工程师、渗透测试人员
安全域:应用安全
推荐指数:🌟🌟🌟🌟🌟
练习靶场
1、hackthebox
链接: https://www.hackthebox.com/
描述:国外知名漏洞靶场,不仅仅是web安全,靶场提供了练习渗透测试的一切。有可能是web漏洞也有可能是elatstic、skywalking这些中间件漏洞,也有可能是FTP、redis未授权访问,总之不仅仅是软件安全,虽然涉及到各个攻击面的脆弱性,但是缺点是不会细到让你理解其中的漏洞原理,他的作用仅仅是通过一些攻击性工具发现已知脆弱性并加以利用,你无法在上面学习到漏洞的本质。有免费和收费,免费版本可练习机器比较少,线路也不是很稳定。收费也不是很贵,印象中只需要一百多块钱一个月,有亚洲路线。
适合群体:渗透测试工程师
推荐指数:🌟🌟🌟🌟🌟
2、vulnhub
链接:https://vulnhub.com/
描述:国外知名漏洞靶场,和hackthebox差不多,不过htb是在线生成靶场,你需要连接vpn到htb靶场网络,而vulnhub是提供一个ova的虚拟机文件,你需要下载到本地用virtualbox打开。免费但需要下载ova大文件,练几个差不多,练习久了本地存储空间都不够用了。
适合群体:渗透测试工程师
推荐指数:🌟🌟🌟🌟
3、vulhub
链接:https://vulhub.org/
描述:和vulnhub只有一字之差,但两个完全不是一样的东西。这个vulhub只是一个web漏洞靶场,适合web安全的人练习,而vulnhub是一个综合性靶场,这是两者的区别。vulhub通过docker容器化部署,非常方便,而且免费。
适合群体:渗透测试工程师、web安全工程师
推荐指数:🌟🌟🌟🌟
4、webgoat
链接:http://owasp.org/www-project-webgoat/
描述:是一个java web漏洞靶场,由owasp出品,最新版本基于springboot开发,可以通过docker部署。docker search webgoat选使用人数最多的那个。完全免费。
适合群体:web安全人员、java开发人员、渗透测试人员
推荐指数:🌟🌟🌟🌟🌟
5、try hack me
链接:https://tryhackme.com/
描述:一个知名靶场,和hackthebox差不多。感觉有点贵,我没用过,
用过的人可以留言补充下。适合群体:渗透测试人员、web安全人员
推荐指数:🌟🌟🌟
书籍
书籍类不提供PDF,请大家自行购买书籍。
1、白帽子讲web安全
描述:刺总这本书我感觉还是有点东西的,不仅仅剖析了传统的web安全漏洞,也讲了一些安全、以及业务的理解。我感觉安全技术人员必看的一本书吧。
适合人群:web安全人员、应用安全人员、渗透测试人员、安全初学者
推荐指数:🌟🌟🌟🌟🌟🌟
2、代码审计-企业级web代码安全架构
描述:这本书是以PHP语言为基础,展开分析web安全漏洞原理。一方面大家都在拥抱javaweb,一方面静态代码审计技术的发展,使得本书显得有点过时了。该书编写的时候sast应该还是以正则匹配危险函数为主流,现在基本上都是基于AST的QL技术。
适合人群:web安全人员、PHP开发人员、渗透测试人员、CTFer
推荐指数:🌟🌟
3、Java代码审计入门篇
描述:没看过,不好描述。看目录来看,
Java反射机制,ClassLoader类加载机制,Java动态代理这几个知识点是java特有的,5.6中分析了tomcat和springboot的cve,5.8讲了java反序列化。剩下几本都传统的危险函数导致的漏洞。文章最后讲到了IAST和RASP,这个值得看一下。其实我更希望有一本结合业务漏洞的安全书籍。适合人群:web安全人员、java开发人员、java安全研究员
推荐指数:🌟🌟🌟🌟
4、网络安全-Java代码审计实战
描述:没看过,是奇安信大佬写的。看目录,大部分也都是通用的危险函数导致的web通用漏洞,有Spel表达式注入是spring特有的,个人感觉总体没上面这本好。
适合人群:web安全人员、java开发人员、java安全研究员
推荐指数:🌟🌟🌟
防御性学习资源
在线学习资料
1、owasp samm
链接:https://owaspsamm.org
描述:软件开发安全成熟度模型,对企业的软件开发进行成熟度评估。
适合人群:软件安全工程师、软件架构师
安全域:应用安全
推荐指数:🌟🌟🌟🌟
2、owasp ASVS
链接:https://m1nzhi.oss-cn-beijing.aliyuncs.com/OWASP%20ASVS%20zh-cn.pdf
描述:应用安全验证标准是一份要求和测试应用安全的清单
适合人群:架构师、开发人员、测试人员、安全专家
安全域:应用安全
推荐指数:🌟🌟🌟
3、owasp cheatsheets
链接: https://cheatsheetseries.owasp.org/
描述:owasp 核心项目的汇总,包含owasp asvs、Masvs、proactive Control、top 10。最后的cheatsheets章节更是包含了很全的知识库,比如各种漏洞原理、如何避免;如何进行威胁建模;毫不夸张的说,cheatsheets的内容看透了,月薪过万轻而易举。
适合群体:所有安全技术从业者、开发者
安全域:应用安全、数据安全
推荐指数:🌟🌟🌟🌟🌟
4、数据安全成熟度模型GB/T 37988-2019
描述:甲方开展数据安全工作必看文档。
适合人群:甲方安全人员(数据安全岗、安全BP、安全架构、CSO、CISO、安全团队TL)
安全域:数据安全
推荐指数:🌟🌟🌟🌟🌟
PDF下载:关注
infosecnote公众号,回复数据安全资料获取下载链接。除了GB/T 37988-2019外,还有其他的数据安全资料
书籍
书籍类不提供PDF,请大家自行购买书籍。
1、威胁建模:设计和交付更安全的软件
描述:这适合红队人员看,但更适合蓝队人员看。威胁建模的目的就是安全左移,通过在软件设计阶段执行威胁建模发现威胁。威胁指的是潜在的安全风险,可能有,可能没有,我们做威胁建模的时候,如果软件设计文档没写出相关控制措施,那我们就应该默认这里是一个威胁点。最终,安全工程师输出一份威胁清单给到软件设计师去check,做了安全措施的pass,没做安全措施的给产品和架构师提安全建议。有些需要安全措施影响业务的,安全人员和产品、架构师需要商讨一个折中方案。
适合人群:软件架构师、软件安全工程师
推荐:🌟🌟🌟🌟🌟
2、互联网企业安全高级指南
描述:我觉得这是甲方安全人员必看的一本书。以往要么是重方法论,要么是重技术剖析;这本书结合了业务和安全,其中印象最深是讲到”过度安全“这个概念。很多内容都是甲方安全建设过程中实际遇到的问题,比如SDL落地困难、安全投入成本等。本书既有攻击者视角,也有防御视角。涉及内容包括主机安全、网络安全、web安全、数据安全/隐私保护、移动安全、办公网络安全、安全管理体系、业务安全与风控。是一本不可多得的结合理论和实战的甲方安全建设指导书籍。
适合人群:甲方安全人员、CSO、CTO
推荐指数:🌟🌟🌟🌟🌟
3、大型互联网企业安全架构
描述:这个没看过,不过看目录内容感觉很牛逼。能和上面这本battle下。
适合人群:甲方安全人员、CSO、CTO
推荐指数:🌟🌟🌟🌟🌟
攻防通用资源
在线学习资料
1、owasp top 10 2021中文版
链接: https://owasp.org/Top10/zh_CN
描述:2021年十大web漏洞归类,不论是redteam还是blueteam都应该掌握这些基础知识。
适合群体:所有安全技术从业者、开发者
安全域:应用安全、数据安全
推荐指数:🌟🌟🌟🌟🌟
2、owasp web-security-testing-guide
链接:https://owasp.org/www-project-web-security-testing-guide/stable/
描述:web安全测试指南。指导安全测试人员规范化的进行安全测试。这份测试指南适合帮助blueteam进行安全测试。
适合人群:安全测试人员
安全域:应用安全
推荐指数:🌟🌟🌟🌟
书籍
安全证书
1、cissp
学习材料:osg官方学习指南,aio认证考试指南
描述:osg一共8个知识域,21个章节,700多页,预估细看一遍的时间大概300小时+;AIO比OSG还恐怖,1000多页,堪称安全行业圣经。
我的节奏是细看完一遍OSG,然后粗看AIO的过程中混合着看OSG第二遍,这个过程中会做题。中间看看停停,大部分时间在周末看看,工作日比较随缘,有时候白天上班太累太忙不开心就不看,有时候下班去游泳回家都10点多了就不想看了。为了保证一次能过,我备考了快2年了。本科学历的人从事安全工作4年才能拿证,专科学历要从事安全工作5年才能拿证,通过考试后需要有人给你背书(已经有cissp认证的人)才能拿到证书。个人不推荐去培训班,因为我是报了班的,我的感受培训走个过场,(周末班)强行8个周末讲完8个osg知识域。800多页的osg,怎么消化的了? 回来还得自己看书做题,白白浪费几千块的培训费不值当。
适合人群:想往安全管理、安全架构转型的、有着多年的安全工作经验的人员。
推荐指数:🌟🌟🌟🌟🌟🌟 (安全行业最有含金量的认证之一)
资料下载:关注公众号
infosecnote,回复cissp备考资料获取下载链接。包含教材:CISSP官方学习指南7、8版(OSG)和CISSP认证考试指南第7版本(AIO),以及历年真题。
加入项目
我把整理安全学习资料当作一个项目来搞,本文中的资源肯定是不全的,希望有更多专业的小伙伴加入我慢慢完善这个项目。
1、通过公众号回复、私信回复项目内容,或交换私人微信后发我;
2、通过github issue提交学习资源;
https://github.com/f4cknet/f4cknet.github.io/issues/new
3、通过邮件发我:[email protected]
加入其他项目
1、企业安全指南:https://m1nzhi.xyz/wiki/secguide/
2、安全工具整理:https://m1nzhi.xyz/tools/
往/期/回/顾
关注“信息安全笔记”
不抄袭,全原创
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...