Прежде чем я начну, этот пост в блоге специально разработан для меня, чтобы собрать мои ресурсы/курсы по всему, что связано с кибербезопасностью, тестированием на проникновение. Я собирал это в течение нескольких лет. Я собираюсь положить ссылки и, возможно, несколько описаний прямо сейчас. Я добавлю больше деталей позже. Кроме того, этот пост не завершен, я буду добавлять сюда больше ссылок/ресурсов. Я разделил ресурсы на шесть категорий —
- Книги — разные книги, посвященные различным аспектам кибербезопасности, тестированию на проникновение и т. д.
- Видеоконтент — этот раздел посвящен различному контенту YouTube, плейлистам или каналам, курсам с разных сайтов MOOC, таких как edX, Coursera, udemy.
- Решение проблем — этот раздел представляет собой комбинацию варгеймов и других решений проблем в различных областях.
- CTF — этот раздел содержит информацию о различных CTF. Большинство из них являются выведенными из эксплуатации машинами или начинают практиковать CTF.
- Репозитории — название говорит за их содержимое!
- Блоги — этот раздел содержит различные блоги, статьи веб-сайтов или просто интересные веб-сайты (в основном то, что мне показалось интересным!)
Я, вероятно, также открою репозиторий GitHub, однако писать этот блог и поддерживать его достаточно утомительно! Я думаю, что сначала подытожу все здесь.
Книги
- The Hacker Playbook — я забыл, кто написал эту книгу, но это первая книга, которую я прочитал на тему тестирования на проникновение. Эта книга охватила основы почти каждой темы, которую я думаю. Обратной стороной является то, что эта книга требует загрузки множества инструментов. В то время я не использовал Kali, потому что у Kali не было локального репозитория для своих пакетов, а время загрузки было огромным. поэтому я написал пакет сценария bash на python, чтобы загрузить все инструменты, упомянутые в этой книге. Я не дочитал всю книгу. Я пошел в социальную инженерию. Инструмент находится здесь: https://github.com/p1r-a-t3/Hacker-Playbook-Utility
- Прикладная криптография (2-е издание) Брюса Шнайра. Прикладная криптография немного теоретична, но я хочу понять, как работает каждый метод.
- Кодовая книга Саймона Сингха. В книге кодов рассказывается история различных методов шифрования от Ceaser Cipher до наших дней.
- Справочник хакеров веб-приложений, написанный Дафиддом Статтардом и Маркусом Пинто. Эта книга посвящена только тестированию на проникновение веб-приложений. Я думаю, что он полностью охватывает почти все аспекты тестирования на проникновение в веб-приложение.
- Искусство невидимости Кевина Митника с Робертом Вамози — это своего рода автобиография Кевина Митника. Это обеспечивает его способ быть невидимым в эту эпоху (к чему следует относиться серьезно!).
- Democracy Hacked by Martin Moore – это книга по социальной инженерии, в которой рассказывается о том, как несколько кандидатов от правительства взломали свою систему с помощью или без какой-либо посторонней помощи.
- Книга по технике безопасности —
- Руководство по прикладной криптографии —
- Руководство администратора Nginx —
Видео содержание
Я собираюсь разделить этот раздел на четыре части —
i) Все с YouTube.
ii) Курсы от EdX
iii) Курсы от Coursera
iv) Учебники от udemy
Все с ютуба
- Hacker101 — Плейлист для новичков — как следует из названия, это плейлист для новичков. Я следил за этим плейлистом для основной идеи. У Hacker101 есть множество ресурсов, четко разделенных по категориям, я упомянул их в разделе блоги.
- Компьютерные сети — плейлист YouTube в компьютерных сетях. Это может быть предложено каким-то университетом.
- Операционные системы — видеолекция на целый семестр об операционных системах.
- Seytonic — делает различные учебные пособия, связанные с хакерством, проекты сделай сам, моды для Raspberry Pi и хаки для Arduino.
- Плейлист Youtube на веб-вызовах CTF — этот плейлист содержит случайные видео CTF от разных пользователей от разных пользователей. Они могут быть не в последовательном порядке.
- Плейлисты HackerSploit — страница плейлистов HackerSploit.
- Пошаговое руководство CTF по базовому пентестированию — вероятно, базовое пошаговое руководство по тестированию на проникновение.
- Плейлист курса по операционной системе UC Berkley — это лучший курс по ОС, который я когда-либо смотрел!
Курсы от EdX
- RITx CyberSecurity MicroMasters — в течение некоторого времени я проходил курс микромагистратуры от RITx в edX. Однако я не закончил все курсы, так как они достаточно дороги для действующего сертификата. Я закончил три курса, и я собираюсь назвать их ниже. Осталось еще два курса.
1. Основы кибербезопасности — Этот курс является основами кибербезопасности. В этом курсе для вас не будет ничего нового, если вы хорошо разбираетесь в основах работы с сетями.
2. Компьютерная криминалистика — Это очень интересный курс по компьютерной криминалистике. Я многому научился на этом курсе. Он обучает процессам, методам и инструментам сбора криминалистической информации.
3. Управление рисками кибербезопасности — это очень теоретический курс с широкой практической реализацией. Он учит оценке риска различных активов и тому, как передать сообщение тем, кто должен знать, что поставлено на карту.
Курсы от Coursera
- Cryptography 1 by Standford — я хочу пройти этот курс. Это действительно сложно (по крайней мере, для меня!), но я думаю, что если я смогу это сделать, то буду хорош в криптографии. Он состоит из двух частей, вторая часть — Криптография 2.
Учебники от udemy
- Изучите этический взлом с нуля Зайда Сабиха и Z Security. Я смотрю два-три видео в день и думаю, что чему-то учусь. Либо потому, что я уже знаком с инструментами и концепциями, либо он отлично учит.
- Полный курс этического взлома: от новичка до прогресса, Эрмин Крепоник. Я еще не начала этот курс.
Решение проблем
Этот раздел разделен на две основные группы: 1) решение проблем 2) варгеймы. У решения проблем может быть определенная тема, такая как криптография, беспорядочный беспорядок или просто URL-адрес веб-сайта, содержащий различные типы проблем. Здесь уже не будет дальнейшего разделения, потому что это не имеет большого значения!
- CryptoPals. Я хотел узнать больше о криптографии. Поэтому я начал решать проблемы с CryptoPals. Они занимают некоторое время, но я делаю их всякий раз, когда у меня есть свободное время.
- Военные игры Overthewire. Военные игры, предлагаемые сообществом OverTheWire, помогут вам изучить и попрактиковаться в концепциях безопасности в форме веселых игр.
- Hackerrank — у Hackerrank есть около 10/15 проблем с безопасностью, от простых до сложных. Стоит попробовать!
CTF
- Hacker101-CTF — содержит CTF Hacker101.
- Тренировочная площадка земпирцев — Тренировочная площадка. У него много разных ресурсов.
- picoCTF — picoCTF — бесплатная игра в компьютерную безопасность, предназначенная для учащихся средних и старших классов, созданная экспертами по безопасности из Университета Карнеги-Меллона. Игра состоит из серии задач, сосредоточенных вокруг уникальной сюжетной линии, в которой участники должны реконструировать, взломать, взломать, расшифровать или сделать все необходимое для решения задачи.
- Организация CTF101 — этот веб-сайт содержит CTF по различным темам.
Репозитории
- Programming Talks — огромный репозиторий докладов по программированию на огромные массивы тем.
- Стетоскоп Netflix – это веб-приложение, которое собирает информацию из существующих источников данных об устройствах (например, JAMF или LANDESK) на устройствах определенного пользователя и дает им четкие и конкретные рекомендации по обеспечению безопасности их систем.
- Ghidra — инструмент обратного проектирования класса NSA.
- Awesome Pentesting — это репозиторий GitHub с огромными связанными ресурсами по разным темам, предметам, книгам, руководствам по тестированию на проникновение. Этот репозиторий делает эту запись почти устаревшей.
- Repulsive Grizzly от Netflix — Repulsive Grizzly — это среда нагрузочного тестирования на уровне приложений, специально разработанная для поддержки высокой пропускной способности и сложных типов запросов. Repulsive Grizzly может помочь вам подтвердить отказ в обслуживании (DoS) на уровне приложения, запустив тест с более высокой степенью параллелизма с другими функциями, такими как циклический перебор сеансов, чтобы помочь вам обойти определенные ограничители скорости или брандмауэры веб-приложений.
- Netflix Skunkworks —
Блоги
- Hacker101 — содержит разбитые по категориям видео/ресурсы по многим темам.
- Руководство по тестированию веб-безопасности OWASP — очень удобное руководство о том, как следует тестировать веб-приложение.
- Десять основных рисков безопасности веб-приложений OWASP — как следует из названия!
- bugcrowd — краудсорсинговая платформа кибербезопасности! В Багкрауде есть университет Багкрауда.
- INITGRITI — Initigriti — это платформа для поиска ошибок и гибкого проникновения.
- Руководство по безопасному кодированию Apple — руководство Apple по безопасному кодированию и различные типы уязвимостей!
- Project Zero от Google — команда Google Project Zero отвечает за обнаружение ошибок нулевого дня. Это их официальная платформа для блогов, где они раскрывают все ошибки.
- Блог zSecurity — блог, поддерживаемый zSecurity.
- Вредоносное ПО должно умереть — исследовательская группа белых хакеров по вопросам безопасности.
- Вики-страница радужной таблицы — потому что я еще не знаю, как создать радужную таблицу.
- Технический блог Netflix — блог Netflix на различных темах.
- Руководство по CTF Trail of Bits — Подробное описание/руководство/пошаговое руководство о том, как работать с вызовами CTF.
- Атака с фиксацией сеанса — Вики-страница об атаке с фиксацией сеанса!
- RIPS Tech Security Talks —
- SheHacksPurple — Таня Янка — отличный инженер по безопасности, тестировщик на проникновение. У нее есть замечательная серия блогов о том, как создать приложение с точки зрения безопасности с нуля. Я добавлю каждый блог здесь позже.
- CyberSec Lounge — это страница, содержащая различные определения и другие ресурсы группы CyberSec Lounge в Discord.
- Прохождение испытаний CTF — огромный блог, содержащий пошаговые инструкции по различным испытаниям CTF!
- Пост на Reddit о том, как начать «хакерство» — в основном, что делать и чего НЕ делать!
- LiveOverFlow — Вероятно, немецкий хакер, хорошо объясняет.
- HackTheBox — Очень хорошая платформа для отработки CTF, Wargames, Endgame, Fortress и т. д.
- Решение проблемы CTF Shitsco — запись CTF.
- Вызовы Union SQLi (Zixem Write-up) — блог Medium
- Коллекция CTF Writeup — Medium
- Waldo Writeup (HackTheBox) — это рецензия на недавно выведенную из эксплуатации машину Waldo на платформе Hack The Box.
- Начало работы с Bug Bounty — статья на Medium.
- Прототип iPhone, который хакеры используют для исследования самого секретного кода Apple — статья о материнской плате Vice.
- VulnHub — Уязвим по замыслу (для практики!)
- 0xdf взламывает вещи — пошаговое руководство по различным CTF/машинам
- Инструмент моделирования угроз Microsoft — инструмент моделирования угроз является основным элементом жизненного цикла Microsoft Security Development Lifecycle (SDL). Это позволяет разработчикам программного обеспечения выявлять и устранять потенциальные проблемы безопасности на ранней стадии, когда их решение относительно просто и рентабельно.
Международные CTF, Семинары, Конференции, Разное
- Международный захват флага («iCTF)» — это распределенные широкомасштабные учения по обеспечению безопасности, целью которых является проверка навыков безопасности участников. Это крупнейшее и самое продолжительное в мире образовательное соревнование по хакерству, которое объединяет аспекты атаки и защиты в живую.
- CTFTime — содержит информацию о CTF, происходящую по всему миру.
Я собрал и опубликовал 10 мая 2020 года. Даты последующих изменений будут добавлены ниже.