国外整理的一套在线渗透测试资源合集

一组很棒的渗透测试资源,包括工具、书籍、会议、杂志和其他的东西

  • 目录:
  • 在线资源
  • 渗透测试资源
  • Shell 脚本资源
  • Linux 资源
  • Shellcode 开发
  • Social社工资源
  • 开锁资源
  • 工具
  • 渗透测试系统版本
  • 渗透测试基础工具
  • 漏洞扫描器
  • 网络工具
  • Hex编辑器
  • 破解
  • Windows程序
  • DDoS 工具
  • 社工工具
  • 藏形工具
  • 逆向工具
  • 书籍
  • 渗透测试书籍
  • 黑客手册系列
  • 网络分析书籍
  • 逆向工程书籍
  • 恶意程序分析书籍
  • Windows书籍
  • 社工书籍
  • 开锁书籍
  • 漏洞库
  • 安全教程
  • 信息安全会议
  • 信息安全杂志
  • 其他
  • 总结

在线资源

渗透测试资源

  • Metasploit Unleashed – 免费的metasploit教程
  • PTES – 渗透测试执行标准
  • OWASP – 开放式Web应用程序安全项目
  • OSSTMM – 开源安全测试方法手册

Shell 脚本资源

  • LSST – linux shell脚本教程

Linux 资源

  • Kernelnewbies – 一个出色的Linux内核资源的社区

Shellcode 开发

  • Shellcode Tutorials – 如何编写shellcode的教程
  • Shellcode examples – Shellcodes 的库

社工资源

  • Social Engineering Framework – 一些社工的资源

开锁资源

  • Schuyler Towne channel – 开锁视频和安全沙龙

工具

渗透测试系统版本

  • Kali – 一个Linux发行版,用来做数字取证和渗透测试。
  • NST – 网络安全工具包发行版
  • Pentoo – 着眼于安全的基于Gentoo的 LiveCD
  • BackBox – 基于Ubuntu的发行版,用于渗透测试及安全评估

渗透测试基础工具

  • Metasploit – 应用最广的渗透测试软件
  • Burp – 抓包工具,针对Web应用执行安全检测

漏洞扫描器

  • Netsparker – Web应用安全扫描器
  • Nexpose – 漏洞管理&风险控制软件
  • Nessus – 漏洞,配置,和合规检测
  • Nikto – Web应用的漏洞扫描
  • OpenVAS – 开源漏洞扫描器
  • OWASP Zed Attack Proxy – web应用的渗透测试工具
  • w3af – Web应用工具和审计框架
  • Wapiti – Web应用漏洞

网络工具

  • nmap – 免费的安全扫描器,用于网络勘测和安全审计
  • tcpdump/libpcap – 一种常见的命令行数据包分析工具
  • Wireshark – 一个Unix和Windows系统的传输协议分析工具
  • Network Tools – 信息收集: ping, lookup, whois, 等等
  • netsniff-ng – 网络嗅探利器
  • Intercepter-NG – 多功能网络工具包

SSL 分析工具

  • SSLyze – SSL 配置扫描器

Hex 编辑器

  • HexEdit.js – 基于浏览器的hex编辑器

解密工具

  • John the Ripper – 快速破解密码
  • Online MD5 cracker – 在线MD5破解

Windows 程序

  • Sysinternals Suite – Sysinternals故障诊断小工具
  • Windows Credentials Editor –  集成了列举、添加、更改、删除身份验证的功能的安全工具

DDoS 工具

  • LOIC –  Windows下的一款开源网络压力测试工具
  • JS LOIC – 没用过,不解释

社工工具

  • SET – 来自TrustedSec的社工工具箱

藏匿工具

  • Tor – 使onion routing藏形匿迹的免费软件
  • I2P – 开源匿名网络工具

逆向工具

  • IDA Pro – Windows、Linux 、Mac OS X反汇编和调试器
  • WDK/WinDbg – Windows下的内核态调试工具
  • OllyDbg – x86调试器,主要做二进制代码分析

书籍

渗透测试书籍

  • The Art of Exploitation by Jon Erickson, 2008
  • Metasploit: The Penetration Tester’s Guide by David Kennedy and others, 2011
  • Penetration Testing: A Hands-On Introduction to Hacking by Georgia Weidman, 2014
  • Rtfm: Red Team Field Manual by Ben Clark, 2014
  • The Hacker Playbook by Peter Kim, 2014
  • The Basics of Hacking and Penetration Testing by Patrick Engebretson, 2013
  • Professional Penetration Testing by Thomas Wilhelm, 2013
  • Advanced Penetration Testing for Highly-Secured Environments by Lee Allen,2012
  • Violent Python by TJ O’Connor, 2012
  • Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton, Adam Greene, Pedram Amini, 2007

黑客手册系列

  • The Shellcoders Handbook by Chris Anley and others, 2007
  • The Web Application Hackers Handbook by D. Stuttard, M. Pinto, 2011
  • iOS Hackers Handbook by Charlie Miller and others, 2012
  • Android Hackers Handbook by Joshua J. Drake and others, 2014
  • The Browser Hackers Handbook by Wade Alcorn and others, 2014

网络分析书籍

  • Nmap Network Scanning by Gordon Fyodor Lyon, 2009
  • Practical Packet Analysis by Chris Sanders, 2011
  • Wireshark Network Analysis by by Laura Chappell, Gerald Combs, 2012

逆向工程书籍

  • Reverse Engineering for Beginners by Dennis Yurichev (free!)
  • The IDA Pro Book by Chris Eagle, 2011
  • Practical Reverse Engineering by Bruce Dang and others, 2014
  • Reverse Engineering for Beginners

恶意程序分析书籍

  • Practical Malware Analysis by Michael Sikorski, Andrew Honig, 2012
  • The Art of Memory Forensics by Michael Hale Ligh and others, 2014

Windows书籍

  • Windows Internals by Mark Russinovich, David Solomon, Alex Ionescu

社会工程学书籍

  • The Art of Deception by Kevin D. Mitnick, William L. Simon, 2002
  • The Art of Intrusion by Kevin D. Mitnick, William L. Simon, 2005
  • Ghost in the Wires by Kevin D. Mitnick, William L. Simon, 2011
  • No Tech Hacking by Johnny Long, Jack Wiles, 2008
  • Social Engineering: The Art of Human Hacking by Christopher Hadnagy, 2010
  • Unmasking the Social Engineer: The Human Element of Security by Christopher Hadnagy, 2014

开锁书籍

  • Practical Lock Picking by Deviant Ollam, 2012
  • Keys to the Kingdom by Deviant Ollam, 2012

漏洞库

  • NVD – 美国国家漏洞库
  • CERT – 美国国家应急响应中心
  • OSVDB – 开源漏洞库
  • Bugtraq – 赛门铁克
  • Exploit-DB – exp的库
  • Fulldisclosure – Fulldisclosure邮件列表
  • MS Bulletin – 微软安全公告
  • MS Advisory – 微软安全报告
  • Inj3ct0r – Inj3ct0r Exp的库
  • Packet Storm – Packet Storm全球安全资源
  • SecuriTeam – Securiteam 漏洞库
  • CXSecurity – CSSecurity Bugtraq列表
  • Vulnerability Laboratory – 漏洞研究实验室
  • ZDI – 0day库

安全课程

  • Offensive Security Training – BackTrack/Kali开发者的培训
  • SANS Security Training – 计算机安全培训和认证
  • Open Security Training – 计算机安全课程培训资料
  • CTF Field Guide – 下一次CTF比赛必学

信息安全会议

  • DEF CON – 一年一度的在拉斯维加斯举行的黑客会议
  • Black Hat – 一年一度的在拉斯维加斯举行的安全会议
  • BSides – 没去过,不解释
  • CCC – 德国每年一次的黑客会议
  • DerbyCon – 每年一度的黑客会议,根据地在Louisville
  • PhreakNIC – 一年一度,美国Tennessee州中部
  • ShmooCon – 一年一度美国西部的黑客会议
  • CarolinaCon – 北加利福尼亚,一年一度
  • HOPE – 黑客杂志2600主办的一系列会议
  • SummerCon – 夏天举办的最古老的黑客大会
  • Hack.lu – 卢森堡一年一度
  • HITB – 在马里西亚和荷兰
  • Troopers – 德国海德堡,一年一度
  • Hack3rCon – 一年一度的美国黑客大会
  • ThotCon – 芝加哥一年一度的美国黑客大会
  • LayerOne – 每年春天洛杉矶的黑客大会
  • DeepSec – 奥地利维也纳的安全会议
  • SkyDogCon – 纳什维尔的安全会议

安全杂志

  • 2600: The Hacker Quarterly – 美国的一本关于计算机技术的地下杂志
  • Hakin9 – A安全每周更新的在线杂志

其他

  • SecTools – 网络安全工具前125
  • C/C++ Programming – 开源工具的主要语言之一
  • .NET Programming – 一个开发框架
  • Shell Scripting – 命令行集成工具包
  • Ruby Programming by @dreikanter – 编写exp的实用语言
  • Ruby Programming by @markets – 同上
  • Ruby Programming by @Sdogruyol – 同上
  • JavaScript Programming – 浏览器开发脚本
  • Node.js Programming by @sindresorhus – 命令行的js
  • Node.js Programming by @vndmtrx – 同上
  • Python tools for penetration testers – 很多渗透工具都是用python写的
  • Python Programming by @svaksha – 通用python项目
  • Python Programming by @vinta – 同上
  • Andorid Security – 安卓安全资源聚合
  • Awesome Awesomness – 。。。

你可能感兴趣的:(TOOL)