安全學習工具和研究途徑整理分享
希望可以幫助大家拓寬自己的安全學習、研究範圍,多了解一些提升自己安全的途徑。
本文作者:i春秋簽約作家——夏之冰雪
恩,首先我分享國內top 3的最重要途徑:
1. i春秋學院課程,裏面有大量的精品課程,值得各階段的人去學習。
2. i春秋論壇,恩,當你看到這篇帖子時,充分說明這個途徑你已經掌握了。
3. i春秋各類qq群,一個人是寂寞的,一群人的學習和分享才會有基情。
除了top3,還有沒有其他的途徑呢?
對於新人而言,除了將安全領域的知識學紮實,還要盡量多的玩一玩各種安全工具,正所謂玩的6了,自然就會成長。
可以通過很多滲透集成框架,進行深入學習,很多框架或者操作系統集成了多款安全工具。
比如kali,嘗試對kali的所有工具做研究,肯定會豐富自己的知識。
再比如,有這麽一款工具——PentestBox,是一款Windows平臺下預配置的便攜式開源滲透測試環境。可以讓我們很舒適的在windows下用很多工具,包括:
1. sqlmap
數據庫註入檢測神器,應該不用介紹了
2. Burp Suite
web請求分析及攻擊工具
3. Commix
命令註入工具,蠻小巧精致的,一旦發現命令註入,讓你非常舒適的“可視化控制”對方。
4. dotdotpwn
模糊遍歷網站風險目錄,還可以解析* NIX passwd文件提取用戶的主文件夾和搜索不同的常見文件的組合。
5. fimap
一款本地及遠程的文件包含漏洞檢測工具,集成了google語法搜索,對於我們圍墻裏的孩子,用起來比較尷尬。
6. golismero
開源的Web掃描器,它不但自帶不少的安全測試工具,而且還可導入分析市面流行的掃描工具的結果,比如Openvas,Wfuzz, SQLMap, DNS recon等,並自動分析。
7. jSQL
一款Java開發的輕量級遠程服務器數據庫註入漏洞測試工具。
不過有了sqlmap,這個用處我覺得一般。
8. nikto
網頁服務器掃描器,它可以對網頁服務器進行全面的多種掃描,包含超過3300種有潛在危險的文件CGIs.
9. wpscan
wordpress安全檢測神器,推薦。
10. 等等
由於集成了很多工具,所以體積有些大,不過也是值得下載的。下載下來不需要安裝,所有依賴pentestbox都盡可能裝好了,默認情況下,我們只需要解壓,就可以開始安全工具測試之旅了。
官網:https://tools.pentestbox.org/
由於下載可能較大,提供一個百度網盤地址:
https://pan.baidu.com/s/1hrLTZzI
再給一個網址:
https://linuxsecurity.expert/security-tools/top-100/
這裏面集成了很多出名的安全工具,強烈推薦。
經常關註github上面的安全項目,有些項目作者會持續更新的,這類項目會根據最新的安全漏洞進行持續跟蹤和升級,方便我們使用,比如:
ssl漏洞自動掃描
https://github.com/hahwul/a2sv
學著自己搜集一些安全咨詢網站和blog,進行rss訂閱。如果太懶,也可以看看別人的,比如有些人會匯總每日安全動態:
https://kevien.github.io/
大家都有什麽好的學習研究途徑,有哪些比較好的網址、項目,歡迎提出來。
以上,僅拋磚引大佬們的玉。
2017-08-31 20:38 追加:
android安全,有人專門收錄整理了詳細的資料,包括:
android 在線分析大全、動態/靜態分析工具集、app漏洞掃描系列、fuzz測試、漏洞匯總等。
地址(強烈推薦):https://github.com/ashishb/android-security-awesome
而對於php安全,也有很多好用的開源工具值得研究:
https://github.com/ezyang/htmlpurifier
https://github.com/psecio/iniscan
https://github.com/defuse/php-encryption
https://github.com/jenssegers/optimus
總之,不要只局限於中文資料,和exe工具,要多看看github,github上面有非常多值得學習的安全工具。
當然,別忘了分享到論壇裏哦~
安全學習工具和研究途徑整理分享