一组很棒的渗透测试资源,包括工具、书籍、会议、杂志和其他的东西
目录:
在线资源
- 渗透测试资源
- Shell 脚本资源
- Linux 资源
- Shellcode 开发
- Social社工资源
- 开锁资源
工具
- 渗透测试系统版本
- 渗透测试基础工具
- 漏洞扫描器
- 网络工具
- Hex编辑器
- 破解
- Windows程序
- DDoS 工具
- 社工工具
- 藏形工具
- 逆向工具
书籍
- 渗透测试书籍
- 黑客手册系列
- 网络分析书籍
- 逆向工程书籍
- 恶意程序分析书籍
- Windows书籍
- 社工书籍
- 开锁书籍
漏洞库
安全教程
信息安全会议
信息安全杂志
其他
在线资源 渗透测试资源
- Metasploit Unleashed – 免费的metasploit教程
- PTES – 渗透测试执行标准
- OWASP – 开放式Web应用程序安全项目
- OSSTMM – 开源安全测试方法手册
Shell 脚本资源
- LSST – linux shell脚本教程
Linux 资源
- Kernelnewbies – 一个出色的Linux内核资源的社区
Shellcode 开发
- Shellcode Tutorials – 如何编写shellcode的教程
- Shellcode examples – Shellcodes 的库
社工资源
- Social Engineering Framework – 一些社工的资源
开锁资源
- Schuyler Towne channel – 开锁视频和安全沙龙
工具 渗透测试系统版本
- Kali – 一个Linux发行版,用来做数字取证和渗透测试。
- NST – 网络安全工具包发行版
- Pentoo – 着眼于安全的基于Gentoo的 LiveCD
- BackBox – 基于Ubuntu的发行版,用于渗透测试及安全评估
渗透测试基础工具
- Metasploit – 应用最广的渗透测试软件
- Burp – 抓包工具,针对Web应用执行安全检测
漏洞扫描器
- Netsparker – Web应用安全扫描器
- Nexpose – 漏洞管理&风险控制软件
- Nessus – 漏洞,配置,和合规检测
- Nikto – Web应用的漏洞扫描
- OpenVAS – 开源漏洞扫描器
- OWASP Zed Attack Proxy – web应用的渗透测试工具
- w3af – Web应用工具和审计框架
- Wapiti – Web应用漏洞
网络工具
- nmap – 免费的安全扫描器,用于网络勘测和安全审计
- tcpdump/libpcap – 一种常见的命令行数据包分析工具
- Wireshark – 一个Unix和Windows系统的传输协议分析工具
- Network Tools – 信息收集: ping, lookup, whois, 等等
- netsniff-ng – 网络嗅探利器
- Intercepter-NG – 多功能网络工具包
SSL 分析工具
- SSLyze – SSL 配置扫描器
Hex 编辑器
- HexEdit.js – 基于浏览器的hex编辑器
解密工具
- John the Ripper – 快速破解密码
- Online MD5 cracker – 在线MD5破解
Windows 程序
- Sysinternals Suite – Sysinternals故障诊断小工具
- Windows Credentials Editor – 集成了列举、添加、更改、删除身份验证的功能的安全工具
DDoS 工具
社工工具
- SET – 来自TrustedSec的社工工具箱
藏匿工具
逆向工具
- IDA Pro – Windows、Linux 、Mac OS X反汇编和调试器
- WDK/WinDbg – Windows下的内核态调试工具
- OllyDbg – x86调试器,主要做二进制代码分析
书籍 渗透测试书籍
- The Art of Exploitation by Jon Erickson, 2008
- Metasploit: The Penetration Tester’s Guide by David Kennedy and others, 2011
- Penetration Testing: A Hands-On Introduction to Hacking by Georgia Weidman, 2014
- Rtfm: Red Team Field Manual by Ben Clark, 2014
- The Hacker Playbook by Peter Kim, 2014
- The Basics of Hacking and Penetration Testing by Patrick Engebretson, 2013
- Professional Penetration Testing by Thomas Wilhelm, 2013
- Advanced Penetration Testing for Highly-Secured Environments by Lee Allen,2012
- Violent Python by TJ O’Connor, 2012
- Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton, Adam Greene, Pedram Amini, 2007
黑客手册系列
- The Shellcoders Handbook by Chris Anley and others, 2007
- The Web Application Hackers Handbook by D. Stuttard, M. Pinto, 2011
- iOS Hackers Handbook by Charlie Miller and others, 2012
- Android Hackers Handbook by Joshua J. Drake and others, 2014
- The Browser Hackers Handbook by Wade Alcorn and others, 2014
网络分析书籍
- Nmap Network Scanning by Gordon Fyodor Lyon, 2009
- Practical Packet Analysis by Chris Sanders, 2011
- Wireshark Network Analysis by by Laura Chappell, Gerald Combs, 2012
逆向工程书籍
- Reverse Engineering for Beginners by Dennis Yurichev (free!)
- The IDA Pro Book by Chris Eagle, 2011
- Practical Reverse Engineering by Bruce Dang and others, 2014
- Reverse Engineering for Beginners
恶意程序分析书籍
- Practical Malware Analysis by Michael Sikorski, Andrew Honig, 2012
- The Art of Memory Forensics by Michael Hale Ligh and others, 2014
Windows书籍
社会工程学书籍
- The Art of Deception by Kevin D. Mitnick, William L. Simon, 2002
- The Art of Intrusion by Kevin D. Mitnick, William L. Simon, 2005
- Ghost in the Wires by Kevin D. Mitnick, William L. Simon, 2011
- No Tech Hacking by Johnny Long, Jack Wiles, 2008
- Social Engineering: The Art of Human Hacking by Christopher Hadnagy, 2010
- Unmasking the Social Engineer: The Human Element of Security by Christopher Hadnagy, 2014
开锁书籍
漏洞库
- NVD – 美国国家漏洞库
- CERT – 美国国家应急响应中心
- OSVDB – 开源漏洞库
- Bugtraq – 赛门铁克
- Exploit-DB – exp的库
- Fulldisclosure – Fulldisclosure邮件列表
- MS Bulletin – 微软安全公告
- MS Advisory – 微软安全报告
- Inj3ct0r – Inj3ct0r Exp的库
- Packet Storm – Packet Storm全球安全资源
- SecuriTeam – Securiteam 漏洞库
- CXSecurity – CSSecurity Bugtraq列表
- Vulnerability Laboratory – 漏洞研究实验室
- ZDI – 0day库
安全课程
- Offensive Security Training – BackTrack/Kali开发者的培训
- SANS Security Training – 计算机安全培训和认证
- Open Security Training – 计算机安全课程培训资料
- CTF Field Guide – 下一次CTF比赛必学
信息安全会议
- DEF CON – 一年一度的在拉斯维加斯举行的黑客会议
- Black Hat – 一年一度的在拉斯维加斯举行的安全会议
- BSides – 没去过,不解释
- CCC – 德国每年一次的黑客会议
- DerbyCon – 每年一度的黑客会议,根据地在Louisville
- PhreakNIC – 一年一度,美国Tennessee州中部
- ShmooCon – 一年一度美国西部的黑客会议
- CarolinaCon – 北加利福尼亚,一年一度
- HOPE – 黑客杂志2600主办的一系列会议
- SummerCon – 夏天举办的最古老的黑客大会
- Hack.lu – 卢森堡一年一度
- HITB – 在马里西亚和荷兰
- Troopers – 德国海德堡,一年一度
- Hack3rCon – 一年一度的美国黑客大会
- ThotCon – 芝加哥一年一度的美国黑客大会
- LayerOne – 每年春天洛杉矶的黑客大会
- DeepSec – 奥地利维也纳的安全会议
- SkyDogCon – 纳什维尔的安全会议
安全杂志
- 2600: The Hacker Quarterly – 美国的一本关于计算机技术的地下杂志
- Hakin9 – A安全每周更新的在线杂志
其他
- SecTools – 网络安全工具前125
- C/C++ Programming – 开源工具的主要语言之一
- .NET Programming – 一个开发框架
- Shell Scripting – 命令行集成工具包
- Ruby Programming by @dreikanter – 编写exp的实用语言
- Ruby Programming by @markets – 同上
- Ruby Programming by @Sdogruyol – 同上
- JavaScript Programming – 浏览器开发脚本
- Node.js Programming by @sindresorhus – 命令行的js
- Node.js Programming by @vndmtrx – 同上
- Python tools for penetration testers – 很多渗透工具都是用python写的
- Python Programming by @svaksha – 通用python项目
- Python Programming by @vinta – 同上
- Andorid Security – 安卓安全资源聚合
- Awesome Awesomness – 。。。