我有一大堆资源,我在演讲、研讨会和日常工作过程中经常回来使用。坦率地说,我自己很难记住它们,而且我认为它们对其他人也很有用,所以我想我会把它们全部放到一个帖子里。如果你有我错过的好东西(你几乎肯定会),把它放到下面的评论中,因为我很想添加到我自己的资源集中,而且这样它就可以与所有人共享。享受!
SSL/TLS/HTTPS
- TLS 还快吗 ——一个揭穿 SSL/TLS 速度成本神话的好网站
- Firesheep ——SSL 的分水岭时刻,展示了可以轻松拦截未受保护的流量和劫持会话
- Qualys SSL Labs – 通过将其指向任何 URL 来测试 SSL 实现的各种属性
- CloudFlare – 在任何网站上免费获得 SSL
- Let's Encrypt – 它即将到来,它承诺修复当前 CA 和配置证书的混乱局面
- Betsy 的免费 wifi – 显示一个年轻女孩站在一个流氓 wifi 热点
- Chromium HSTS 预加载列表 ——所有提交 HTTP 严格传输安全预加载的网站(数量少得令人沮丧)
- HTTP 羞辱 – 不安全地发送敏感数据?名誉和耻辱!
分布式拒绝服务
- Krista 的专业 DDoS 服务 – 一个无辜少年宣传 DDoS 服务的视频
- Norse – 非常棒的 DDoS 攻击实时地图,绝对令人着迷
- Booter 宣传视频 – 非常专业的“booter”服务广告(配有“Epic DDoS 接口”)
- networkstresser.com – DDoS 服务示例……受 CloudFlare 保护……全球最大的 DDoS 防御提供商……
SQL注入
-
sqlmap
– 针对正在运行的站点安装 SQL 注入
攻击测试的 工具 - 2014 年的 Drupal 7 SQL 注入缺陷 ——它仍然有多大影响的一个很好的例子(在 7 小时内修补它,否则你就完蛋了)
- 道德黑客:SQL 注入 ——如果您真的想深入了解,这里有五个半小时的 Pluralsight 内容
跨站脚本
- XSSposed – 发现易受 XSS 攻击的站点列表(包括攻击向量)
- Dutch banks doing the Harlem Shake—— 一些荷兰银行的视频拼贴有 XSS 风险,通过从 URL 反映的脚本进行 Harlem Shake
- XSS Filter Evasion Cheat Sheet—— 因为 XSS 负载过滤几乎总是不够用
- </xssed> – 大量的 XSS 新闻和漏洞列表
安全扫描器
- NetSparker – 由于易用性和实用性,我最喜欢的动态分析工具(特别适合可能不住在安全领域的开发人员)
- OWASP Zed Attack Proxy (ZAP) – 动态分析安全测试的好工具,也有一大群其他用户(哦 – 它是免费的!)
- Burp Suite – 非常强大,有一大堆不同的工具和一个免费版本来帮助你入门
- Fiddler – 本身不是安全工具,但我广泛使用它来检查网站行为、篡改请求和修改在线响应
- Acunetix – 类似于 NetSparker 的流行动态分析工具,但恕我直言,在可用性方面有点失望
- Nikto2 – 由 NetSparker 赞助的免费开源应用程序扫描仪
利用数据库和违规范围
- seclists.org – 从各种错误跟踪列表中整合的大量漏洞
- 利用数据库 —— 非常 全面的漏洞列表
- PunkSPIDER—— 网络上有很多各种各样的漏洞(目前扫描了大约 9000 万个站点,有超过 300 万个漏洞)
- 数据丢失数据库 ——很好的违规列表,包括受损记录数量的统计数据
- 信息是美丽的:世界上最大的数据泄露 ——事件的奇妙可视化,可以很好地表明规模
破解软件
- Hashcat—— 破解散列密码的 工具 ;完全免费,有强大的支持社区
- John the Ripper—— 也是一流的密码破解软件,具有一些不同的 Hashcat 方法
- RainbowCrack – 彩虹表在快速 GPU 和 Hashcat 等工具时代变得不那么重要了,但无论如何都值得一提
- Aircrack-ng – 满足您所有的 802.11 WEP 和 WPA-PSK 密钥破解需求
黑客和渗透测试工具
- Metasploit – 规范的渗透测试工具;非常先进和强大
- BeEF—— 浏览器开发框架,提供对目标浏览会话的远程控制
- Kali Linux – 一张图片中的所有笔测试位!
- Backtrack-linux—— 随着 Kali 的出现而有点失宠,但仍然值得一提
- Nmap – 满足您对网络事物的所有映射需求
- Wireshark – 当您需要深入到数据包级别进行监控时
漏洞定义
- The OWASP Top 10 Web Application Security Risks – 当今 web 上的顶级风险的规范分类
- SANS 20 关键安全控制 ——以易于使用的方式呈现的安全控制的强大整合
安全标头
- CSP 的 Fiddler 扩展 ——通过在浏览时构建策略,极大地简化了 CSP 的创建
- SecurityHeaders.io – 与安全标头相关的所有内容以及评估当前状态的好地方
- 报告 URI – 分析您的 CSP 和 HPKP 标头并在那里记录您的异常报告
- 让任何网站做 Harlem Shake – 如果你可以在控制台中针对网站运行它,他们几乎可以肯定没有 CSP 禁止将任意内容加载到网站
密码
- OWASP 密码存储备忘单 ——有很多不好的方法,这是一个很好的资源,记录了好的方法
- Jimmy Kimmel“What is your password” ——采访人们并设计他们泄露密码的视频
- Diceware—— 一种流行的创建适合用作密码的强密码短语的方法
密码管理员
- 1Password – 仍然是我最喜欢的密码管理器;基于客户端,在所有设备上运行,钥匙串可通过多种机制同步
- LastPass – 基于 Web 的密码管理器(尽管也有富客户端),密码管理器中的大玩家之一
- KeePass – 商业密码管理器的流行免费替代品
帐户管理
- Adult Friend Finder 密码重置 – 枚举做错了;为任何电子邮件地址启动密码重置,并被告知他们是否是高度个人化网站的成员
- Entropay 密码重置 ——不公开账户存在的一个很好的例子(尝试重置一个没有在他们的系统上注册的账户)
- 针对 GitHub 的僵尸网络暴力攻击 ——我经常以此为例来说明防御暴力攻击有多难
人身安全
- F-Secure 的 Freedome – 我选择的 VPN,在世界各地有很多出口节点,并承诺不记录
- mycreditfile.com.au – 这是澳大利亚版本,所以如果您不在澳大利亚,请找一个本地版本,但身份保护和信用警报是今天“必须拥有”恕我直言
谷歌dorks
- Google Hacking Database – 大量的 Googledorks,按暴露数据的不同类别分类
- Google Hacking for Penetration Testers – 如果你更喜欢书籍而不是网页
其他工具和链接
- 我被骗了吗? – 我怎么能不包括这个?!我自己的工具,现在被 监控数千万人的大型企业 特别好地使用
- Mailinator – 创建用于测试的临时电子邮件地址
- Shodan – 查找连接到网络的设备(相机、SCADA 系统等)
- Reitre.js—— “你需要的也必须退役”:帮助识别具有已知漏洞的 JavaScript 库
- urlQuery.net – 通过检查单个 URL 和识别恶意行为来分析网络传播的恶意软件
- Phish5 – 我还没有使用过它们,但我听到了一些好消息;网络钓鱼攻击 非常 有效,这些人可以帮助您测试您的组织,了解人们识别攻击的能力如何
- 纯文本违法者 – 是否已通过电子邮件发送您的密码?名誉和耻辱!
- 卡巴斯基实时威胁地图 ——卡巴斯基看到的实时威胁的非常酷的可视化
- Tor Browser Bundle – 访问地下网络并匿名浏览
安全统计报告
- Verizon 数据泄露调查报告 ——年度 DBIR 基于现实世界的安全事件,是基于证据的安全指标的重要资源
- WhiteHat 安全统计报告 ——基于他们使用安全产品监控的网站中的发现,这是另一份很好的循证报告
- Trustwave 全球安全报告 ——另一份基于真实世界调查的年度报告(另外他们使用术语“威胁情报”、“肮脏的地下犯罪”和“数据捍卫者”,所以你知道它会很好!)
- Websence 威胁报告 – 由 Websense 安全实验室创建,是对威胁形势的相当高层次的概述
- 惠普网络风险报告 ——更多网络、更多统计、更多报告
值得关注的书籍
- We are Anonymous – 仍然是我最喜欢的安全书籍之一,深入了解 Lulzsec 以及它是如何解开的
- Ghost in the Wires – 凯文·米特尼克 (Kevin Mitnick) 早年的故事,绝对引人入胜的读物
- 数据和歌利亚 ——仅仅因为你偏执并不意味着他们不在你之后! Bruce Schneier 关于数据收集的优秀读物
您应该阅读的其他内容
- 每个程序员绝对需要知道的关于编码和字符集以处理文本的内容 ——因为编码是您只需要知道的事情之一
您想阅读和关注的很棒的人
我错过了什么?
很多。在评论中留下您的最爱,我很乐意看到它们!