希望可以幫助大家拓寬自己的安全學習、研究範圍，多了解一些提升自己安全的途徑。

本文作者：i春秋簽約作家——夏之冰雪

恩，首先我分享國內top 3的最重要途徑：

1. i春秋學院課程，裏面有大量的精品課程，值得各階段的人去學習。

2. i春秋論壇，恩，當你看到這篇帖子時，充分說明這個途徑你已經掌握了。

3. i春秋各類qq群，一個人是寂寞的，一群人的學習和分享才會有基情。

除了top3，還有沒有其他的途徑呢？

對於新人而言，除了將安全領域的知識學紮實，還要盡量多的玩一玩各種安全工具，正所謂玩的6了，自然就會成長。

可以通過很多滲透集成框架，進行深入學習，很多框架或者操作系統集成了多款安全工具。

比如kali，嘗試對kali的所有工具做研究，肯定會豐富自己的知識。

再比如，有這麽一款工具——PentestBox，是一款Windows平臺下預配置的便攜式開源滲透測試環境。可以讓我們很舒適的在windows下用很多工具，包括：

1. sqlmap

數據庫註入檢測神器，應該不用介紹了

2. Burp Suite

web請求分析及攻擊工具

3. Commix

命令註入工具，蠻小巧精致的，一旦發現命令註入，讓你非常舒適的“可視化控制”對方。

4. dotdotpwn

模糊遍歷網站風險目錄，還可以解析* NIX passwd文件提取用戶的主文件夾和搜索不同的常見文件的組合。

5. fimap

一款本地及遠程的文件包含漏洞檢測工具，集成了google語法搜索，對於我們圍墻裏的孩子，用起來比較尷尬。

6. golismero

開源的Web掃描器，它不但自帶不少的安全測試工具，而且還可導入分析市面流行的掃描工具的結果，比如Openvas,Wfuzz, SQLMap, DNS recon等，並自動分析。

7. jSQL

一款Java開發的輕量級遠程服務器數據庫註入漏洞測試工具。

不過有了sqlmap，這個用處我覺得一般。

8. nikto

網頁服務器掃描器，它可以對網頁服務器進行全面的多種掃描，包含超過3300種有潛在危險的文件CGIs.

9. wpscan

wordpress安全檢測神器，推薦。

10. 等等

由於集成了很多工具，所以體積有些大，不過也是值得下載的。下載下來不需要安裝，所有依賴pentestbox都盡可能裝好了，默認情況下，我們只需要解壓，就可以開始安全工具測試之旅了。

官網：https://tools.pentestbox.org/

由於下載可能較大，提供一個百度網盤地址：

https://pan.baidu.com/s/1hrLTZzI

再給一個網址：

https://linuxsecurity.expert/security-tools/top-100/

這裏面集成了很多出名的安全工具，強烈推薦。

經常關註github上面的安全項目，有些項目作者會持續更新的，這類項目會根據最新的安全漏洞進行持續跟蹤和升級，方便我們使用，比如：

ssl漏洞自動掃描

https://github.com/hahwul/a2sv

學著自己搜集一些安全咨詢網站和blog，進行rss訂閱。如果太懶，也可以看看別人的，比如有些人會匯總每日安全動態：

https://kevien.github.io/

大家都有什麽好的學習研究途徑，有哪些比較好的網址、項目，歡迎提出來。

以上，僅拋磚引大佬們的玉。

2017-08-31 20:38 追加：

android安全，有人專門收錄整理了詳細的資料，包括：

android 在線分析大全、動態/靜態分析工具集、app漏洞掃描系列、fuzz測試、漏洞匯總等。

地址（強烈推薦）：https://github.com/ashishb/android-security-awesome

而對於php安全，也有很多好用的開源工具值得研究：

https://github.com/ezyang/htmlpurifier

https://github.com/psecio/iniscan

https://github.com/defuse/php-encryption

https://github.com/jenssegers/optimus

總之，不要只局限於中文資料，和exe工具，要多看看github，github上面有非常多值得學習的安全工具。

當然，別忘了分享到論壇裏哦~

安全學習工具和研究途徑整理分享