Skip to content

Latest commit

 

History

History
763 lines (494 loc) · 51.5 KB

readme_cn.md

File metadata and controls

763 lines (494 loc) · 51.5 KB

Awesome Infosec

Awesome

受 GitHub 上的 awesome-* 仓库的启发,精心策划的信息安全资源列表

这些资源和工具仅用于受控环境下的网络安全专业和教育用途

目录

  1. Massive Online Open Courses
  2. Academic Courses
  3. Laboratories
  4. Capture the Flag
  5. Open Security Books
  6. Challenges
  7. Documentation
  8. SecurityTube Playlists
  9. Related Awesome Lists
  10. Contributing
  11. License

Massive Online Open Courses

斯坦福大学 - 计算机安全

本课程旨在教授如何设计安全系统以及如何编写安全代码。可以学到如何查找代码中的漏洞以及如何限制软件系统中安全漏洞的影响。重点关注设计、建设安全系统的原则,并给出许多实例

斯坦福大学 - 密码学 I

本课程旨在介绍密码学原型理论是如何工作的,以及如何正确的使用。学生将学习如何推断密码构成的安全性,以及如何将这些知识应用到实际应用中。本课程首先详细讨论了拥有共享密钥的双方如何在对手可以窃听并篡改流量时安全地进行通信。我们分析了许多已经部署使用的协议,并检查了现有系统中存在的问题。课程的后面讨论了多方产生共享密钥的公钥技术。课程涵盖相关数论,讨论公钥加密和基本的密钥交换过程。课程里学生可以接触到该领域内许多激动人心的问题。

斯坦福大学 - 密码学 II

本课程是密码学 I 的后续课程,解释了公钥系统和加密协议内部的工作原理。课程从数字签名及其应用讲起,然后讨论了用户认证协议与零知识协议。课程的后面讨论了加密技术在匿名凭据和隐私数据库查询上的应用。课程还包括了一些高级议题,包括多方计算和椭圆曲线

马里兰大学 - Usable Security

本课程着眼于如何设计、建立以人为中心的安全系统。课程研究人机交互的基本原理,并将这些原理应用到安全系统的设计中,目标是设计符合系统内人员体验和系统建设目标的安全系统

马里兰大学 - 软件安全

本课程旨在研究软件安全的基础。我们将讨论重要的软件漏洞以及如何利用这些漏洞执行攻击(如缓冲区溢出、SQL 注入与会话劫持等),我们将考虑防御或缓解这些攻击的措施。包括高级测试与程序分析技术,更重要的是,我们采取“构建安全”的思路,综合考虑可用于加强软件系统安全开发周期各个阶段的技术

马里兰大学 - 密码学

本课程旨在介绍现代密码学的基础与实际应用。我们将会讨论界定安全的重要性,主要依靠一套经过深入研究的“硬度假设”以及基于低级原型的复杂结构安全的可能性。我们不但在理论上对这些思想进行讲解,还会探索其现实影响。课程中会介绍被广泛使用的密码学原型,并了解如何将这些原型结合起来用于开发通信安全的现代协议

马里兰大学 - 硬件安全

本课程旨在介绍现代密码学的基础与实际应用。我们将会讨论界定安全的重要性,主要依靠一套经过深入研究的“硬度假设”以及基于低级原型的复杂结构安全的可能性。我们不但在理论上对这些思想进行讲解,还会探索其现实影响。课程中会介绍被广泛使用的密码学原型,并了解如何将这些原型结合起来用于开发通信安全的现代协议

Academic Courses

NYU Tandon School of Engineering - OSIRIS Lab's Hack Night

Hack Night 是基于 NYU Tandon 的渗透测试和漏洞分析课程的资料开发的,是对安全中攻击的一个全面介绍。学生在十三周内会接触到各种各样的复杂和身临其境的问题,很多复杂的技术内容都覆盖在内

佛罗里达州立大学 - Offensive Computer Security

攻击者利用漏洞发动进攻的主要动机是获得投资回报(主要是时间投入),这个回报不一定是货币,攻击者可能对数据或其他对攻击者有价值的信息感兴趣。渗透测试涉及对系统进行授权地审计和利用,以评估实际系统的安全性来阻止攻击者。这需要深入了解漏洞以及知道如何利用漏洞。因此,本课程提供了白帽子渗透测试和安全系统管理所使用的基本方法、技能、法律问题和对工具简单却全面的介绍

佛罗里达州立大学 - Offensive Network Security

本课程旨在帮助学生深入了解已知的协议(IP、TCP、UDP),以及攻击者是如何利用这些协议进行攻击、如何通过捕获的网络流量来发现网络中存在的问题。本课程的前半部分侧重于协议知识,而后半部分侧重于逆向未知协议。课程利用捕获的流量,让学生通过已知的技术,如 Marshall Beddoe 引入的 bioinformatics 来逆向协议。课程还涵盖对协议的模糊测试(查看服务器或者客户端是否存在漏洞)。总的来说,这门课程引导学生更好地理解计算机网络中的协议、通信、交互等概念

伦斯勒理工学院 - Malware Analysis

本课程向学生介绍现代恶意软件分析技术,通过对实际样本的阅读和实验分析,让学生了解静态、动态分析现代高级恶意软件的技术

伦斯勒理工学院 - Modern Binary Exploitation

本课程首先介绍基本的 x85 逆向工程、漏洞分析和基于 Linux 的用户级二进制利用的经典样例。然后讲解现代系统上保护与缓解这些攻击手段的技术(如 Canaries、DEP、ASLR、RELRO、Fortify Source 等)。课程还涵盖内核利用与基于 Windows 系统的利用

伦斯勒理工学院 - 硬件逆向工程

半导体器件的逆向工程技术常用于分析竞品、知识产权诉讼、安全测试、供应链验证与失效分析。研究现代防篡改/反逆向工程方法以及在阻止攻击者方面的有效性。还包括一些可编程逻辑微体系结构和逆向工程可编程逻辑时涉及的问题

City College of San Francisco - Sam Bowne Class

  • CNIT 40: DNS 安全
    DNS 对于所有的互联网用户而言都是至关重要的,它会遇到很多的安全风险,包括网络钓鱼、DNS 劫持、数据包放大、欺骗、中毒等。了解如何配置安全的 DNS 服务器,并通过 DNS 来监控、检测恶意活动。我们还涵盖了 DNSSEC 原则和部署。学生会在 Windows 和 Linux 平台上部署安全 DNS 服务器

  • CNIT 120 - 网络安全
    网络管理员和 IT 从业人员都需要了解安全漏洞的知识和技能。如何实施安全措施,如何考虑已知安全威胁或风险来分析现有网络环境,防御网络攻击或病毒,如何确保数据的隐私性和完整性。包括访问控制、授权、加密、数据包过滤、防火墙和 VPN 在内的安全实施与配置程序

  • CNIT 121 - 计算机取证
    本课程旨在讲授用于调查计算机的取证工具,以及如何恢复数据、证据收集、证据保护等计算机犯罪调查技术。包括用于检索数据的各种文件系统和专用诊断软件的分析。课程内容有一部分可以用于准备工业标准认证考试、Security+ 与计算机调查专家考试

  • CNIT 123 - Ethical Hacking and Network Defense
    本课程学习如何攻击计算机与网络,以及如何使用 Windows 和 Linux 系统来免受此类攻击。课程还包括法律限制和道德准则。课上会综合学习端口扫描、Windows/Linux 系统漏洞利用、缓冲区溢出攻击、SQL 注入、提权、木马和后门等

  • CNIT 124 - Advanced Ethical Hacking
    更高级的计算机安全技术,动手尝试 Google Hacking、复杂的端口扫描、提权、针对网络电话(VoIP)、路由器、防火墙、无线设备、Web 服务器以及拒绝服务的攻击

  • CNIT 126 - Practical Malware Analysis
    了解如何使用反汇编、调试器、静态分析、动态分析,使用 IDA Pro、OllyDbg 和其他工具来分析恶意软件,包括计算机病毒、木马和 Rootkit

  • CNIT 127 - Exploit Development
    了解如何发现漏洞以及如何利用漏洞获取对目标系统(包括 Windows、Mac、Linux 和 Cisco)的控制权。课程包括了如何编写工具,而不仅仅是利用它们。这是高级渗透测试人员和软件安全专业人员的基本技能

  • CNIT 128 - Hacking Mobile Devices
    智能手机和平板电脑等移动设备越来越普及,这些设备运行的操作系统有很多安全问题。本课程将介绍移动操作系统和应用程序的工作方式,以及如何发现与利用其中的漏洞。其中包括电话、语音邮件、短信入侵、越狱、root、NFC 攻击、恶意软件、浏览器利用与应用程序漏洞

  • CNIT 129S: Securing Web Applications
    课程讲授攻击者常用的技术,以及如何进行防御。如何保护身份验证、如何保护数据库和后端组件。如何保护用户免受彼此的影响。如果在源代码和程序冲找到常见的漏洞

  • CNIT 140: IT Security Practices
    为信息安全竞赛(CTF 与 Collegiate Cyberdefense Competition (CCDC))的培训,这种培训将为专业人员的就业做准备,如果我们的团队在竞争中取得好成绩,竞争对手会认可并尊重,从而提供更多更好的工作机会

  • Violent Python and Exploit Development
    用简单的 Python 脚本来攻陷易受攻击的系统

Open Security Training

OpenSecurityTraining.info 致力于共享计算机安全类培训资料

初学入门

  • Android Forensics & Security Testing
    该课程旨在移动平台上的数字取证,包括 Android 操作系统取证以及 Android 应用程序渗透测试的基础

  • Certified Information Systems Security Professional (CISSP)®
    Common Body of Knowledge (CBK)® Review

    CISSP CBK 回顾课程为联邦机构信息认证(IA)专家专门设计的,符合 NSTISSI-4011DoD 8570.01-M

  • Flow Analysis & Network Hunting
    课程旨在从 SOC 的角度对网络分析和恶意活动进行探索。我们将深入分析网络流量的优势和限制,探讨传感器的布置、网络流量工具、网络数据可视化、网络态势感知与网络狩猎

  • Hacking Techniques and Intrusion Detection
    本课程旨在深入介绍黑客技术与入侵检测领域的高级主题

  • Introductory Intel x86: Architecture, Assembly, Applications, & Alliteration
    讲授了 x86 的基本概念并描述了处理汇编代码的硬件。覆盖了许多常见的汇编指令。虽然 x86 有数百个不同用途的指令,但是通常来说掌握 20-30 条指令及其变体就能读懂大部分程序

  • Introduction to ARM
    课程建立在 x86 的基础上,尽可能提供两个体系结构中的异同,同时关注 ARM 指令集和一些 ARM 处理器的功能,以及如何在 ARM 上运行的

  • Introduction to Cellular Security
    本课程旨在演示蜂窝网络安全的核心概念。虽然课程讨论的是 GSM、UMTS 和 TLE,但主要关注的是 LTE。课程首先介绍了有关蜂窝网络的重要概念,然后跟随 GSM 一路演进到 LTE

  • Introduction to Network Forensics
    本课程旨在讲授网络监控和数字取证技术

  • Introduction to Secure Coding
    本课程介绍了业内最流行的安全相关编码错误,深入解释了每种类型的错误,包括攻击者如何对代码进行攻击,并回顾了避免这些问题的策略

  • Introduction to Vulnerability Assessment
    本课程介绍了一些常见的通用计算技术的漏洞评估,还演示了特定的工具和技术

  • Introduction to Trusted Computing
    本课程旨在介绍可信计算背后的技术。将了解什么是可信平台模块(TPM)以及更深入的技术层面和企业环境中提供哪些功能。课程还涵盖了其他技术(如动态信任根机制(DRTM)和虚拟化),如何利用 TPM 并用于提高 TPM

  • Offensive, Defensive, and Forensic Techniques for Determining Web User Identity
    本课程从几个不同的角度来看 Web 用户。首先讨论了从服务器角度确定 Web 用户身份的技术。其次讨论了试图匿名用户的角度如何看待混淆技术。最后介绍了取证技术,在给予硬盘驱动器或类似媒体时,我们可以确定访问该服务器的用户

  • Pcap Analysis & Network Hunting
    解释了如何捕获网络流量以及如何处理网络流量。本课程涵盖了多个开源工具:tcpdump、Wireshark 和 ChopShop。包括如何使用 tcpdump 捕获数据包,仅使用命令行工具挖掘 DNS 解析以及清除混淆的协议

  • Malware Dynamic Analysis
    刚开始从事恶意软件分析工作的人员用来学习恶意软件动态分析,该课程是一个动手实践的课程,学生通过使用各种工具来查找恶意软件

  • Secure Code Review
    本课程旨在介绍开发生命周期以及同行评审在提高产品质量上的重要性。讨论了如何进行同行评审,并强调了在评审过程中如何保证安全编码。各种实践帮助练习解决常见的编码错误以及在审查过程中应重点关注什么,还有如何管理有限的时间

  • Smart Cards
    展示了与其他类型的卡相比,智能卡的不同之处。它解释了如何使用智能卡来实现信息的机密性和完整性

  • The Life of Binaries
    我们讨论程序不同阶段的安全性,从编译器开始,攻击者可以利用的技巧,病毒是如何工作的,以及恶意软件如何复制操作系统过程,与带有空间地址布局随机化(ASLR)安全性增强的 OS 加载器的好处

  • Understanding Cryptology: Core Concepts
    对密码学的介绍,重点是应用密码学

  • Understanding Cryptology: Cryptanalysis
    本课程介绍了各种破译密码的技巧和 Python 实验,值得注意的是本课程中包含很多数学知识

中级课程

高级课程

  • Advanced x86: Virtualization with Intel VT-x
    本课程介绍英特尔硬件支持的虚拟化,第一部分介绍在没有专用硬件的情况下虚拟化的挑战,随后深入了解英特尔虚拟化 API 和英特尔实验室的“蓝色药丸”/“超级劫持”攻击,最后讨论了虚拟化检测技术

  • Advanced x86: Introduction to BIOS & SMM
    本课程介绍 BIOS 为什么对平台的安全至关重要。当 BIOS 没有得到适当保护时,攻击者得到了哪些机会?课程还将介绍用于执行固件漏洞分析以及固件取证的工具。这门课教授现有的逆向工程技术人员如何分析 UEFI 固件,这同样可以用于漏洞发现,也可以用来分析在 BIOS 中发现的可疑植入物

  • Introduction to Reverse Engineering Software
    纵观工具发明史,人类总是好奇地要去理解其内部工作原理。无论是调查一块破损的手表还是改进发动机,这些人都把物品分解成各个要素以了解它们是如何工作的。这就是逆向工程(RE),试图理解恶意代码、利用软件中的缺陷

  • Reverse Engineering Malware
    本课程以介绍软件逆向工程 为开场,探讨如何使用静态逆向工程来了解恶意软件的工作原理以及如何将其清除

  • Rootkits: What they are, and how to find them
    Rootkits 是一类专门用于隐藏受感染系统中的攻击者的恶意软件。本课程将着重了解 Rootkit 是如何工作的,以及使用哪些工具可以找到它们

  • The Adventures of a Keystroke: An in-depth look into keylogging on Windows
    键盘记录器是恶意软件中使用最广泛的组件之一,如果有人可以记录你的击键,那么他可以在你没有防备的情况下控制你的整个电脑

Cybrary - Online Cyber Security Training

  • CompTIA A+
    课程涵盖了计算机技术、基本网络概念、PC、笔记本电脑和相关硬件的安装和配置的基础知识,以及移动操作系统 Android 和 Apple iOS 配置常用功能

  • CompTIA Linux+
    免费、自学的在线 Linux+ 培训为学生提供了成为认证 Linux+ 专家的知识,涵盖了涵盖 Linux 维护任务、用户帮助、安装和配置等任务

  • CompTIA Cloud+
    Cloud+ 培训解决了尽可能安全地实施、管理和维护云技术的基本知识。它涵盖了云中模型、虚拟化和基础架构等概念

  • CompTIA Network+
    主要是构建一个网络技能套件

  • CompTIA Advanced Security Practitioner
    CompTIA CASP 培训中,将学习到如何集成高级认证、如何管理企业风险、如何进行漏洞评估以及如何分析网络安全概念和组件

  • CompTIA Security+
    了解一般安全性概念、密码学基础知识、通信安全性以及操作和组织安全性

  • ITIL Foundation
    课程提供了 IT 服务管理最佳实践的基本知识:如何降低成本,提高流程改进,提高 IT 生产力和整体客户满意度

  • Cryptography
    课程研究密码学是如何成为安全技术的基石,以及如何通过使用不同的加密方法来保护私人或敏感信息免受未经授权的访问

  • Cisco CCNA
    CCNA 培训课程为中型网络安装,配置,故障排除和操作 LAN、WAN 和拨号接入服务

  • Virtualization Management
    课程重点在于安装,配置和管理虚拟化软件、如何在云环境中工作以及如何为其构建基础架构

  • Penetration Testing and Ethical Hacking
    课程可以学习如何以攻击者的方式利用网络,以便了解如何保护系统免受攻击

  • Computer and Hacking Forensics
    课程可以学习如何确定潜在的网络犯罪活动,合法收集证据,搜索和调查无线攻击

  • Web Application Penetration Testing
    中小型企业 Raymond Evans 带领您进入 Web 应用程序渗透测试的迷人之旅,该实验非常强调动手能力,要求自己配置试验环境

  • CISA - Certified Information Systems Auditor
    为了面对满足企业漏洞管理挑战的动态需求,本课程涵盖审核流程,以确保您有能力分析组织状态并在需要时进行更改

  • Secure Coding
    课程讨论安全编码指南以及安全编码在降低风险和漏洞方面的重要性。了解 XSS、直接对象引用、数据暴露、缓冲区溢出和资源管理

  • NIST 800-171 Controlled Unclassified Information Course
    课程涵盖了在非联邦机构中保护受控未分类信息的 14 个领域。为NIST 800-171 特殊出版物中定义的每个安全域提供基本要求和派生要求

  • Advanced Penetration Testing
    如何利用跨站点脚本攻击、SQL注入攻击、远程和本地文件包含以及如何理解您正在攻击的网络的防御者

  • Intro to Malware Analysis and Reverse Engineering
    课程讲授如何对所有主要文件类型执行动态和静态分析,如何从文档中分离恶意可执行文件,如何识别常见恶意软件策略以及如何调试和反汇编恶意二进制文件

  • Social Engineering and Manipulation
    课程介绍了如何进行社会工程攻击,以及在攻击中每个步骤中所做的事情

  • Post Exploitation Hacking
    后渗透测试主要涉及三个主要主题:信息收集、后门和覆盖步骤,如何使用系统特定工具来获取常规信息,监听 Shell,metasploit 和 meterpreter 脚本

  • Python for Security Professionals
    本课程在十几个小时从基本概念到高级脚本,重点关注网络与安全

  • Metasploit
    这个免费的 Metasploit 培训课程将教您利用 Metasploit 的深入功能进行渗透测试,并帮助您为任何规模的组织运行漏洞评估

  • ISC2 CCSP - Certified Cloud Security Professional
    现实情况是,攻击者从不休息,而且随着针对内部网络和系统的传统威胁,出现了专门针对云计算的全新变种

Executive

Laboratories

Syracuse University's SEED

安全教育实验室

SEED 项目始于 2002 年,由 NSF 资助共计 130 万美元,目前全世界有数百所教育机构使用,SEED 项目的目标是开发用于计算机和信息安全教育实验室中的练习

软件安全实验室

这些实验室涵盖了一般软件中最常见的一些漏洞,这些实验展示攻击如何利用这些漏洞进行攻击

Network Security Labs

这些实验包括对 TCP/IP 和 DNS 攻击到各种网络安全技术(防火墙、VPN 和 IPSec)

Web Security Labs

这些实验包含了一些 Web 应用程序中最常见的漏洞。这些实验展示了如何利用这些漏洞进行攻击

Elgg-Based Labs

Elgg 是一个开源的社交网络系统,为了实验进行了一些修改

Collabtive-Based Labs

Collabtive 是一个开源的 Web 项目管理系统,为了实验做了修改

PhpBB-Based Labs

PhpBB 是一个开源的 Web 留言板系统,允许用户发布消息,为了实验做了修改

System Security Labs

这些实验包括操作系统中的安全机制,主要集中在 Linux 的访问控制机制上

Cryptography Labs

实验包括密码学中的三个基本概念,包括密钥加密、单向散列函数、公钥加密和 PKI

Mobile Security Labs

这些实验专注于智能手机的安全性,涵盖了移动设备上最常见的漏洞和攻击。这些实验提供了 Android VM

Pentester Lab

正确学习网络渗透测试的唯一途径就是让你的手变脏。实验教授如何手动查找与利用漏洞。您将了解问题的根源和可以用来利用它们的方法。实验基于不同系统中常见的漏洞,这些问题不是模拟的,我们为您提供的是真正的系统漏洞

Dr. Thorsten Schneider's Binary Auditing

了解二进制审计的基本原理,了解 HLL 映射是如何工作的,获得比以往更多的内部理解。了解如何查找与分析软件漏洞,分析病毒和恶意软件的行为方式,以及如何使用一些小技巧让病毒看起来像真实程序

Damn Vulnerable Web Application (DVWA)

DVWA 是一个 PHP/MySQL 的 Web 应用程序,它的主要目标是帮助安全专业人士在法律环境中测试他们的技能和工具,帮助 Web 开发人员更好地理解 Web 应用程序的安全保护过程,帮助学生和教师学习受控条件下 Web 应用程序的环境

Damn Vulnerable Web Services

这是一个不安全的 Web 应用程序,具有多个易受攻击的 Web 服务组件,可用于学习真实世界的 Web 服务漏洞

NOWASP (Mutillidae)

OWASP Mutillidae II 是一个免费、开源、存在漏洞的网络应用程序,提供了一个易于使用的网页黑客环境

OWASP Broken Web Applications Project

OWASP 的 Broken Web Applications Project 是一个存在漏洞 Web 应用程序集合,这些应用程序分布在 VMware 虚拟机上,与其免费和商业的 VMware 产品兼容

OWASP Bricks

Bricks 是一个基于 PHP 和 MySQL 构建的 Web 应用程序安全学习平台。该项目着重于常见应用程序安全问题的变化。每个“bricks”都有某种安全问题,可以手动或使用自动化软件工具来利用。使命是“打破bricks”,从而学习 Web 应用程序安全的各个方面

OWASP Hackademic Challenges Project

在安全可控的环境中实施具有已知漏洞的现实场景。用户可以尝试发现和利用这些漏洞,以便从攻击者的角度学习信息安全的重要概念

Web Attack and Exploitation Distro (WAED)

Web Attack and Exploitation Distro(WAED)是一个基于Debian 的轻量级虚拟机。WAED 在沙盒环境中预先配置了大约 18 个真实世界各种易受攻击的 Web 应用程序

Xtreme Vulnerable Web Application (XVWA)

XVWA 是一个用 PHP/MySQL 编写的糟糕的 Web 应用程序,可以帮助安全爱好者学习应用程序的安全性。因为它被设计成“非常脆弱”,所以在线使用这个应用程序是不可取的。我们建议您在本地/受控环境中托管此应用程序,并使用您自己选择的任何工具来增强您的应用程序安全性

WebGoat: A deliberately insecure Web Application

WebGoat 是由 OWASP 维护的存在漏洞的 Web 应用程序,旨在教授 Web 应用程序安全

Audi-1's SQLi-LABS

SQLi-LABS 是一个全面测试平台,可以学习和理解 SQL 注入的复杂性

Capture the Flag

Vulnhub

VulnHub 尽可能地覆盖那些存在漏洞、可破解、可利用的“东西”,希望提供学习和尝试的内容提供最佳匹配

CTF Write Ups

CTF 仓库

  • captf
    This site is primarily the work of psifertex since he needed a dump site for a variety of CTF material and since many other public sites documenting the art and sport of Hacking Capture the Flag events have come and gone over the years.

  • shell-storm
    The Jonathan Salwan's little corner.

SecurityTube Playlists

Security Tube 在 IT 安全领域提供大量视频教程,包括渗透测试,开发开发和逆向工程

  • SecurityTube Metasploit Framework Expert (SMFE)
    本视频系列涵盖了 Metasploit 框架的基础知识,如何借助 metasploit 来利用漏洞,并利用 meterpreter 进行后渗透测试技术

  • Wireless LAN Security and Penetration Testing Megaprimer
    本系列视频将带您进行无线局域网安全和渗透测试。我们将从 WLAN 的工作原理到数据包嗅探和注入攻击,甚至于审计基础设施漏洞

  • Exploit Research Megaprimer
    本系列视频中,学习如何为各种漏洞编写攻击利用代码,如何使用各种工具和技术在开源和闭源软件中找到 0 Day 漏洞

  • Buffer Overflow Exploitation Megaprimer for Linux
    本系列视频中,我们将了解缓冲区溢出的基本知识,并了解如何在基于 Linux 的系统上利用它们。在以后的视频中,我们也将看到如何将相同的原则应用到 Windows 和其他选定的操作系统

Open Security Books

Crypto 101 - lvh

了解 SSL/TLS 等完整密码系统所需的一切:分组密码、流密码、散列函数、消息认证、公钥加密、密钥协议和签名算法。学习如何利用常见的密码缺陷、伪造管理员 Cookies、恢复密码甚至在你自己的随机数发生器里插入后门

A Graduate Course in Applied Cryptography - Dan Boneh & Victor Shoup

这本书关于构建实际的系统,根据可信的假设来论证安全性。本书涵盖了密码学中不同任务的许多构造。对于每个任务我们定义所需的目标。为了分析这些结构,我们制定了一个统一的密码证明框架

Security Engineering, A Guide to Building Dependable Distributed Systems - Ross Anderson

自从 2001 年这本书的第一版发布以来,世界已经发生了根本性的变化。垃圾邮件制造者,病毒作者,网络钓鱼者,洗钱者和间谍现在都忙忙碌碌,随着他们的专业化,他们变得更强。在这个全面更新的指南中,罗斯·安德森(Ross Anderson)揭示了如何建立一个可靠的系统

Reverse Engineering for Beginners - Dennis Yurichev

本书提供了逆向工程的入门知识,深入研究了反汇编代码级逆向工程,并解释了如何为希望了解 x86(其中几乎涵盖了全球所有可执行软件)和 ARM 的初学者破译汇编语言由 C/C++ 编译器创建的代码

CTF Field Guide - Trail of Bits

CTF 比赛倾向于衡量的重点领域是漏洞发现、漏洞创建、工具包创建等

Challenges

Documentation

OWASP - Open Web Application Security Project

OWASP 是一个致力于提高软件安全性的全球非营利慈善组织,使命是提高软件安全性,以便全世界的个人和组织都能对真正的软件安全风险做出明智的决定

Applied Crypto Hardening - bettercrypto.org

本指南源于系统管理员需要有一个更新的、可靠的和深思熟虑的指南,用于配置后 Snowdenage 中的 SSL、PGP、SSH 和其他加密工具。在 2013 年夏天的 NSA 漏洞触发下,许多系统管理员和 IT 安全人员看到需要加强他们的加密设置。本指南是专门为这些系统管理员编写的

PTES - Penetration Testing Execution Standard

渗透测试执行标准涵盖渗透测试相关的所有内容 - 从渗透测试背后的初步沟通和推理,到测试人员在幕后工作的情报收集和威胁建模阶段,以便更好地理解测试组织,通过脆弱性研究,渗透测试和后渗透测试,测试人员的技术安全专业知识发挥作用,并结合企业对参与的理解,最后结合报告,捕捉整个过程,以一种有意义的方式为客户,并提供最大的价值

Related Awesome Lists

欢迎各位提起 PR 与 issue !

License

Creative Commons License

本工作使用 Creative Commons Attribution 4.0 International License 许可证