有哪些資訊保安方面的經典書籍?
來源:知乎問答
每個領域應該都有那麼一兩本聖經,比如編譯器裡的龍書,資料庫裡的Database Systems: The Complete Book / Database Management System。 那資訊保安這塊應該閱讀哪本書籍呢?
各方觀點:
觀點1:雲舒,阿里巴巴集團高階安全專家
請允許我吐槽“大部分人都在回答一些扯淡的東西,難怪學生找不到工作,而我們找不到人”。
現在的資訊保安,大體上分裂成兩個方面。一個是標準派,熟讀各種標準,BSXXOO,ISObalabala,說起來天下無敵。如果你想搞這種高階大氣的廟堂之上東西,那麼可以看BS7799、ISO27001、NIST800-53、CISSP等等以及這裡許多答案裡面寫的東西,然後進審計公司、內審部門。只是從此與技術無緣,也被某些技術人員所看不起。悲劇的是,國內的安全標準也是這些人制定的,包括政府現在正在編寫的雲端計算的安全標準——其實應該找我的:)。一個不能指導實踐的理論和標準,只能是呵呵了。BTW,某些大學的研究機構與此類似,3-5臺虛擬機器,然後天天搞在虛擬層做IPS,就說是在做雲安全。前些時候有學校來和我們合作做課題,結果那些題目我們公司這邊都看不太懂。
與標準派對應的是實踐派,醫生啊、電視機廠的啊、鐵路工人啊、亂七八糟專業的啊、無業遊民啊等等所組成。現在是各大甲方企業安全部門、乙方安全公司、創業公司的骨幹。輕視標準,注重實戰,用事實說話,talk is cheap,show me the exp。TK教主也曾經曰過“計算機的好處就是1就是1,0就是0,萬物皆可print”。這一派屬於山野草民,持劍縱橫江湖的遊俠。WEB方面毫無疑問是 @大風 和餘弦的兩本書,逆向破解有看雪,溢位有xcon的本滲透技術。至於系統網路方面,我本來想寫一本,但是後來覺得沒意思就太監了,不喜歡去總結我所知道的常識。其實把Linux系統的各常用安全機制,網路的ARP、IP、TCP、SSL、HTTP、DNS、FTP、SMTP、POP3等一些協議搞搞清楚,網上隨便看看資料也就行了。程式設計方面,python、ruby、perl、go至少會一種,搞WEB的要會JS,搞破解、溢位的要會C和ASM。至於工具的使用,喜歡哪個就用哪個,原理搞清楚了都不是問題。
然後微博上,把我們以及我們關注的人都關注了,看看大家在討論什麼,各公司在吵什麼,趨勢就把握住了。趨勢很重要,實踐派裡面也各種吵架,曾經搞溢位的看不起搞WEB的,但是後來WEB安全風風火火,溢位逐漸式微。但是現在隨著移動裝置的興起和APT的火爆,溢位之類又要成為新的熱點。嗯,還有云,這個我一直在搞。
少年們,記住最後一句話,搞安全,猥瑣最重要。這就是安全之道。
觀點2:黑暗小魚
1.電腦保安
Charles P.Pfleeger,Shari Lawrence Pfleege
2. 沒有任何漏洞
Egan,M. ,Mather,T.
3. 編寫安全的程式碼
Howard,M. , LeBlanc,D.
4. 網路安全完全手冊
布拉格
5. 網路安全體系結構
Convery,S.
6. Web安全測試
Steven Splaine
7. 資料庫黑客大曝光——資料庫伺服器防護術
裡奇費爾德
8. 黑客反彙編揭祕
卡巴斯基
9. 黑客之道:漏洞發掘的藝術
埃裡克森
10.TCP/IP詳解。
斯蒂文斯
三卷看完兩卷,很有能力看三卷。
觀點3:WeirdBird,非正常人類研究中心, 關注Web 安全
IDF 實驗室 曾經 分享 過 相關的 資料 .
我就直接 搬運 過來吧
背景知識
常規知識
Sun認證-Solaris 9&10安全管理員學習指南
PicoCTF資料
應用軟體安全
OWASP安全編碼規範
漏洞挖掘
Windows ISV軟體安全防禦
移動安全
OWASP十大移動手機安全風險
網路安全
常規網路攻擊型別
逆向工程
華盛頓大學:硬體/軟體介面
倫敦大學:惡意軟體和地下產業——一個巴掌拍不響
Web安全
OWASP十大Web應用安全風險
線上課程
多學科課程
ISIS實驗室黑客之夜
涉及原始碼審計、Web安全、逆向工程、漏洞挖掘、Post-Exploitation、應用軟體安全
開放式安全訓練
涉及逆向工程、漏洞挖掘、取證技術、惡意軟體分析
佛羅里達州立大學:安全攻擊
涉及原始碼審計、應用軟體安全、漏洞挖掘、網路安全、Web安全、Post-Exploitation
雪域大學SEED:發展教學實驗室電腦保安教育
涉及漏洞挖掘、網路安全、Web安全
斯坦福大學:電腦保安
涉及漏洞挖掘、網路安全、移動安全、應用軟體安全、Web安全、惡意軟體分析
Metasploit重磅出擊
涉及網路安全、應用軟體安全、漏洞挖掘、Post-Exploitation
密碼學
斯坦福大學密碼學Ⅰ
斯坦福大學密碼學Ⅱ
漏洞利用
Corelan團隊文章集
逆向工程
Thorsten Schneider博士:二進位制程式碼審計
Lena的教程:惡意軟體分析
mammon_’s tales to his grandson
程式分析
亞琛工業大學:靜態程式分析
麻省理工學院:SAT/SMT 2011年暑期大學
Web安全
滲透測試實驗室
OWASP應用安全系列教程
線上資源
多學科資源
ISIS實驗室Wiki資源
部落格、訂閱、指南和連結
VulnHub
應用軟體安全
HP Fortify Taxonomy:軟體安全錯誤
應用軟體安全讀物
Fuzzing
CTF比賽
CTF比賽
WarGames
Forgotten Security’s CTF Wiki
CTFtime
嵌入式裝置安全
軟體人員的硬體黑客技術
嵌入式安全裝置的黑客方法
巴納比.傑克:嵌入式系統的漏洞挖掘
斯蒂芬.雷德利:硬體黑客視訊
漏洞挖掘
Smashing The Stack For Fun And Profit
返回指標程式設計(ROP)的介紹
漏洞挖掘之旅
不同漏洞的資源列表
移動安全
自動動手攻擊移動堆
IG初學者
OWASP igoat
OWASP GoatDroid
網路安全
OSI模型
Nmap網路掃描
安全專案
ISIS實驗室專案創意
逆向工程
X86彙編
Web安全
Google Gruyere
OWASP代罪羔羊計劃
Damn Vulnerable Web Application (DVWA)
推薦書籍
應用程式安全
軟體安全評估的藝術
作者:Mark Dowd、John McDonald、Justin Schuh
BUG獵手日記
作者:Tobias Klein
Fuzzing:暴力漏洞挖掘
作者:Michael Sutton、Adam Greene、Pedram Amini
漏洞挖掘
黑客之道:漏洞挖掘的藝術
作者:Jon Erickson
ShellCoder手記:發掘和利用安全缺陷
作者:Chris Anley、John Heasman、Felix Lindner、Gerardo Richarte
網路安全
黑客大曝光:網路安全揭祕及解決方案
作者:Stuart McClure、Joel Scambray、George Kurtz
逆向工程
IDA Pro權威指南
作者:Chris Eagle
Reversing:逆向工程揭祕
作者:Eldad Eilam
Web安全
Web應用黑客手記:發現和利用安全缺陷
作者:Dafydd Stuttard、Marcus Pinto
複雜的Web:現代Web應用安全指南
作者:Michal Zalewski
觀點4:lxghost,資訊保安從業者
現在的人就喜歡到處推薦自己沒看過的書,然後無趣又過時的書成了經典。