Прежде чем я начну, этот пост в блоге специально разработан для меня, чтобы собрать мои ресурсы/курсы по всему, что связано с кибербезопасностью, тестированием на проникновение. Я собирал это в течение нескольких лет. Я собираюсь положить ссылки и, возможно, несколько описаний прямо сейчас. Я добавлю больше деталей позже. Кроме того, этот пост не завершен, я буду добавлять сюда больше ссылок/ресурсов. Я разделил ресурсы на шесть категорий —

  1. Книги — разные книги, посвященные различным аспектам кибербезопасности, тестированию на проникновение и т. д.
  2. Видеоконтент — этот раздел посвящен различному контенту YouTube, плейлистам или каналам, курсам с разных сайтов MOOC, таких как edX, Coursera, udemy.
  3. Решение проблем — этот раздел представляет собой комбинацию варгеймов и других решений проблем в различных областях.
  4. CTF — этот раздел содержит информацию о различных CTF. Большинство из них являются выведенными из эксплуатации машинами или начинают практиковать CTF.
  5. Репозитории — название говорит за их содержимое!
  6. Блоги — этот раздел содержит различные блоги, статьи веб-сайтов или просто интересные веб-сайты (в основном то, что мне показалось интересным!)

Я, вероятно, также открою репозиторий GitHub, однако писать этот блог и поддерживать его достаточно утомительно! Я думаю, что сначала подытожу все здесь.

Книги

  1. The Hacker Playbook — я забыл, кто написал эту книгу, но это первая книга, которую я прочитал на тему тестирования на проникновение. Эта книга охватила основы почти каждой темы, которую я думаю. Обратной стороной является то, что эта книга требует загрузки множества инструментов. В то время я не использовал Kali, потому что у Kali не было локального репозитория для своих пакетов, а время загрузки было огромным. поэтому я написал пакет сценария bash на python, чтобы загрузить все инструменты, упомянутые в этой книге. Я не дочитал всю книгу. Я пошел в социальную инженерию. Инструмент находится здесь: https://github.com/p1r-a-t3/Hacker-Playbook-Utility
  2. Прикладная криптография (2-е издание) Брюса Шнайра. Прикладная криптография немного теоретична, но я хочу понять, как работает каждый метод.
  3. Кодовая книга Саймона Сингха. В книге кодов рассказывается история различных методов шифрования от Ceaser Cipher до наших дней.
  4. Справочник хакеров веб-приложений, написанный Дафиддом Статтардом и Маркусом Пинто. Эта книга посвящена только тестированию на проникновение веб-приложений. Я думаю, что он полностью охватывает почти все аспекты тестирования на проникновение в веб-приложение.
  5. Искусство невидимости Кевина Митника с Робертом Вамози — это своего рода автобиография Кевина Митника. Это обеспечивает его способ быть невидимым в эту эпоху (к чему следует относиться серьезно!).
  6. Democracy Hacked by Martin Moore – это книга по социальной инженерии, в которой рассказывается о том, как несколько кандидатов от правительства взломали свою систему с помощью или без какой-либо посторонней помощи.
  7. Книга по технике безопасности
  8. Руководство по прикладной криптографии
  9. Руководство администратора Nginx

Видео содержание

Я собираюсь разделить этот раздел на четыре части —
i) Все с YouTube.
ii) Курсы от EdX
iii) Курсы от Coursera
iv) Учебники от udemy

Все с ютуба

  1. Hacker101 — Плейлист для новичков — как следует из названия, это плейлист для новичков. Я следил за этим плейлистом для основной идеи. У Hacker101 есть множество ресурсов, четко разделенных по категориям, я упомянул их в разделе блоги.
  2. Компьютерные сети — плейлист YouTube в компьютерных сетях. Это может быть предложено каким-то университетом.
  3. Операционные системы — видеолекция на целый семестр об операционных системах.
  4. Seytonic — делает различные учебные пособия, связанные с хакерством, проекты сделай сам, моды для Raspberry Pi и хаки для Arduino.
  5. Плейлист Youtube на веб-вызовах CTF — этот плейлист содержит случайные видео CTF от разных пользователей от разных пользователей. Они могут быть не в последовательном порядке.
  6. Плейлисты HackerSploit — страница плейлистов HackerSploit.
  7. Пошаговое руководство CTF по базовому пентестированию — вероятно, базовое пошаговое руководство по тестированию на проникновение.
  8. Плейлист курса по операционной системе UC Berkley — это лучший курс по ОС, который я когда-либо смотрел!

Курсы от EdX

  1. RITx CyberSecurity MicroMasters — в течение некоторого времени я проходил курс микромагистратуры от RITx в edX. Однако я не закончил все курсы, так как они достаточно дороги для действующего сертификата. Я закончил три курса, и я собираюсь назвать их ниже. Осталось еще два курса.
    1. Основы кибербезопасности — Этот курс является основами кибербезопасности. В этом курсе для вас не будет ничего нового, если вы хорошо разбираетесь в основах работы с сетями.
    2. Компьютерная криминалистика — Это очень интересный курс по компьютерной криминалистике. Я многому научился на этом курсе. Он обучает процессам, методам и инструментам сбора криминалистической информации.
    3. Управление рисками кибербезопасности — это очень теоретический курс с широкой практической реализацией. Он учит оценке риска различных активов и тому, как передать сообщение тем, кто должен знать, что поставлено на карту.

Курсы от Coursera

  1. Cryptography 1 by Standford — я хочу пройти этот курс. Это действительно сложно (по крайней мере, для меня!), но я думаю, что если я смогу это сделать, то буду хорош в криптографии. Он состоит из двух частей, вторая часть — Криптография 2.

Учебники от udemy

  1. Изучите этический взлом с нуля Зайда Сабиха и Z Security. Я смотрю два-три видео в день и думаю, что чему-то учусь. Либо потому, что я уже знаком с инструментами и концепциями, либо он отлично учит.
  2. Полный курс этического взлома: от новичка до прогресса, Эрмин Крепоник. Я еще не начала этот курс.

Решение проблем

Этот раздел разделен на две основные группы: 1) решение проблем 2) варгеймы. У решения проблем может быть определенная тема, такая как криптография, беспорядочный беспорядок или просто URL-адрес веб-сайта, содержащий различные типы проблем. Здесь уже не будет дальнейшего разделения, потому что это не имеет большого значения!

  1. CryptoPals. Я хотел узнать больше о криптографии. Поэтому я начал решать проблемы с CryptoPals. Они занимают некоторое время, но я делаю их всякий раз, когда у меня есть свободное время.
  2. Военные игры Overthewire. Военные игры, предлагаемые сообществом OverTheWire, помогут вам изучить и попрактиковаться в концепциях безопасности в форме веселых игр.
  3. Hackerrank — у Hackerrank есть около 10/15 проблем с безопасностью, от простых до сложных. Стоит попробовать!

CTF

  1. Hacker101-CTF — содержит CTF Hacker101.
  2. Тренировочная площадка земпирцев — Тренировочная площадка. У него много разных ресурсов.
  3. picoCTF — picoCTF — бесплатная игра в компьютерную безопасность, предназначенная для учащихся средних и старших классов, созданная экспертами по безопасности из Университета Карнеги-Меллона. Игра состоит из серии задач, сосредоточенных вокруг уникальной сюжетной линии, в которой участники должны реконструировать, взломать, взломать, расшифровать или сделать все необходимое для решения задачи.
  4. Организация CTF101 — этот веб-сайт содержит CTF по различным темам.

Репозитории

  1. Programming Talks — огромный репозиторий докладов по программированию на огромные массивы тем.
  2. Стетоскоп Netflix – это веб-приложение, которое собирает информацию из существующих источников данных об устройствах (например, JAMF или LANDESK) на устройствах определенного пользователя и дает им четкие и конкретные рекомендации по обеспечению безопасности их систем.
  3. Ghidra — инструмент обратного проектирования класса NSA.
  4. Awesome Pentesting — это репозиторий GitHub с огромными связанными ресурсами по разным темам, предметам, книгам, руководствам по тестированию на проникновение. Этот репозиторий делает эту запись почти устаревшей.
  5. Repulsive Grizzly от Netflix — Repulsive Grizzly — это среда нагрузочного тестирования на уровне приложений, специально разработанная для поддержки высокой пропускной способности и сложных типов запросов. Repulsive Grizzly может помочь вам подтвердить отказ в обслуживании (DoS) на уровне приложения, запустив тест с более высокой степенью параллелизма с другими функциями, такими как циклический перебор сеансов, чтобы помочь вам обойти определенные ограничители скорости или брандмауэры веб-приложений.
  6. Netflix Skunkworks

Блоги

  1. Hacker101 — содержит разбитые по категориям видео/ресурсы по многим темам.
  2. Руководство по тестированию веб-безопасности OWASP — очень удобное руководство о том, как следует тестировать веб-приложение.
  3. Десять основных рисков безопасности веб-приложений OWASP — как следует из названия!
  4. bugcrowd — краудсорсинговая платформа кибербезопасности! В Багкрауде есть университет Багкрауда.
  5. INITGRITI — Initigriti — это платформа для поиска ошибок и гибкого проникновения.
  6. Руководство по безопасному кодированию Apple — руководство Apple по безопасному кодированию и различные типы уязвимостей!
  7. Project Zero от Google — команда Google Project Zero отвечает за обнаружение ошибок нулевого дня. Это их официальная платформа для блогов, где они раскрывают все ошибки.
  8. Блог zSecurity — блог, поддерживаемый zSecurity.
  9. Вредоносное ПО должно умереть — исследовательская группа белых хакеров по вопросам безопасности.
  10. Вики-страница радужной таблицы — потому что я еще не знаю, как создать радужную таблицу.
  11. Технический блог Netflix — блог Netflix на различных темах.
  12. Руководство по CTF Trail of Bits — Подробное описание/руководство/пошаговое руководство о том, как работать с вызовами CTF.
  13. Атака с фиксацией сеанса — Вики-страница об атаке с фиксацией сеанса!
  14. RIPS Tech Security Talks
  15. SheHacksPurple — Таня Янка — отличный инженер по безопасности, тестировщик на проникновение. У нее есть замечательная серия блогов о том, как создать приложение с точки зрения безопасности с нуля. Я добавлю каждый блог здесь позже.
  16. CyberSec Lounge — это страница, содержащая различные определения и другие ресурсы группы CyberSec Lounge в Discord.
  17. Прохождение испытаний CTF — огромный блог, содержащий пошаговые инструкции по различным испытаниям CTF!
  18. Пост на Reddit о том, как начать «хакерство» — в основном, что делать и чего НЕ делать!
  19. LiveOverFlow — Вероятно, немецкий хакер, хорошо объясняет.
  20. HackTheBox — Очень хорошая платформа для отработки CTF, Wargames, Endgame, Fortress и т. д.
  21. Решение проблемы CTF Shitsco — запись CTF.
  22. Вызовы Union SQLi (Zixem Write-up) — блог Medium
  23. Коллекция CTF Writeup — Medium
  24. Waldo Writeup (HackTheBox) — это рецензия на недавно выведенную из эксплуатации машину Waldo на платформе Hack The Box.
  25. Начало работы с Bug Bounty — статья на Medium.
  26. Прототип iPhone, который хакеры используют для исследования самого секретного кода Apple — статья о материнской плате Vice.
  27. VulnHub — Уязвим по замыслу (для практики!)
  28. 0xdf взламывает вещи — пошаговое руководство по различным CTF/машинам
  29. Инструмент моделирования угроз Microsoft — инструмент моделирования угроз является основным элементом жизненного цикла Microsoft Security Development Lifecycle (SDL). Это позволяет разработчикам программного обеспечения выявлять и устранять потенциальные проблемы безопасности на ранней стадии, когда их решение относительно просто и рентабельно.

Международные CTF, Семинары, Конференции, Разное

  1. Международный захват флага («iCTF)» — это распределенные широкомасштабные учения по обеспечению безопасности, целью которых является проверка навыков безопасности участников. Это крупнейшее и самое продолжительное в мире образовательное соревнование по хакерству, которое объединяет аспекты атаки и защиты в живую.
  2. CTFTime — содержит информацию о CTF, происходящую по всему миру.

Я собрал и опубликовал 10 мая 2020 года. Даты последующих изменений будут добавлены ниже.