有哪些信息安全方面的经典书籍?
每个领域应该都有那么一两本圣经,比如编译器里的龙书,数据库里的Database Systems: The Complete Book / Database Management System。 那信息安全这块应该阅读哪本书籍呢?
各方观点:
观点1:云舒,阿里巴巴集团高级安全专家
请允许我吐槽“大部分人都在回答一些扯淡的东西,难怪学生找不到工作,而我们找不到人”。
现在的信息安全,大体上分裂成两个方面。一个是标准派,熟读各种标准,BSXXOO,ISObalabala,说起来天下无敌。如果你想搞这种高端大气的庙堂之上东西,那么可以看BS7799、ISO27001、NIST800-53、CISSP等等以及这里许多答案里面写的东西,然后进审计公司、内审部门。只是从此与技术无缘,也被某些技术人员所看不起。悲剧的是,国内的安全标准也是这些人制定的,包括政府现在正在编写的云计算的安全标准——其实应该找我的:)。一个不能指导实践的理论和标准,只能是呵呵了。BTW,某些大学的研究机构与此类似,3-5台虚拟机,然后天天搞在虚拟层做IPS,就说是在做云安全。前些时候有学校来和我们合作做课题,结果那些题目我们公司这边都看不太懂。
与标准派对应的是实践派,医生啊、电视机厂的啊、铁路工人啊、乱七八糟专业的啊、无业游民啊等等所组成。现在是各大甲方企业安全部门、乙方安全公司、创业公司的骨干。轻视标准,注重实战,用事实说话,talk is cheap,show me the exp。TK教主也曾经曰过“计算机的好处就是1就是1,0就是0,万物皆可print”。这一派属于山野草民,持剑纵横江湖的游侠。WEB方面毫无疑问是 @大风 和余弦的两本书,逆向破解有看雪,溢出有xcon的本渗透技术。至于系统网络方面,我本来想写一本,但是后来觉得没意思就太监了,不喜欢去总结我所知道的常识。其实把Linux系统的各常用安全机制,网络的ARP、IP、TCP、SSL、HTTP、DNS、FTP、SMTP、POP3等一些协议搞搞清楚,网上随便看看资料也就行了。编程方面,python、ruby、perl、go至少会一种,搞WEB的要会JS,搞破解、溢出的要会C和ASM。至于工具的使用,喜欢哪个就用哪个,原理搞清楚了都不是问题。
然后微博上,把我们以及我们关注的人都关注了,看看大家在讨论什么,各公司在吵什么,趋势就把握住了。趋势很重要,实践派里面也各种吵架,曾经搞溢出的看不起搞WEB的,但是后来WEB安全风风火火,溢出逐渐式微。但是现在随着移动设备的兴起和APT的火爆,溢出之类又要成为新的热点。嗯,还有云,这个我一直在搞。
少年们,记住最后一句话,搞安全,猥琐最重要。这就是安全之道。
观点2:黑暗小鱼
1.计算机安全
Charles P.Pfleeger,Shari Lawrence Pfleege
2. 没有任何漏洞
Egan,M. ,Mather,T.
3. 编写安全的代码
Howard,M. , LeBlanc,D.
4. 网络安全完全手册
布拉格
5. 网络安全体系结构
Convery,S.
6. Web安全测试
Steven Splaine
7. 数据库黑客大曝光——数据库服务器防护术
里奇费尔德
8. 黑客反汇编揭秘
卡巴斯基
9. 黑客之道:漏洞发掘的艺术
埃里克森
10.TCP/IP详解。
斯蒂文斯
三卷看完两卷,很有能力看三卷。
观点3:WeirdBird,非正常人类研究中心, 关注Web 安全
IDF 实验室 曾经 分享 过 相关的 资料 .
我就直接 搬运 过来吧
背景知识
常规知识
Sun认证-Solaris 9&10安全管理员学习指南
PicoCTF资料
应用软件安全
OWASP安全编码规范
漏洞挖掘
Windows ISV软件安全防御
移动安全
OWASP十大移动手机安全风险
网络安全
常规网络攻击类型
逆向工程
华盛顿大学:硬件/软件接口
伦敦大学:恶意软件和地下产业——一个巴掌拍不响
Web安全
OWASP十大Web应用安全风险
在线课程
多学科课程
ISIS实验室黑客之夜
涉及源码审计、Web安全、逆向工程、漏洞挖掘、Post-Exploitation、应用软件安全
开放式安全训练
涉及逆向工程、漏洞挖掘、取证技术、恶意软件分析
佛罗里达州立大学:安全攻击
涉及源码审计、应用软件安全、漏洞挖掘、网络安全、Web安全、Post-Exploitation
雪域大学SEED:发展教学实验室计算机安全教育
涉及漏洞挖掘、网络安全、Web安全
斯坦福大学:计算机安全
涉及漏洞挖掘、网络安全、移动安全、应用软件安全、Web安全、恶意软件分析
Metasploit重磅出击
涉及网络安全、应用软件安全、漏洞挖掘、Post-Exploitation
密码学
斯坦福大学密码学Ⅰ
斯坦福大学密码学Ⅱ
漏洞利用
Corelan团队文章集
逆向工程
Thorsten Schneider博士:二进制代码审计
Lena的教程:恶意软件分析
mammon_’s tales to his grandson
程序分析
亚琛工业大学:静态程序分析
麻省理工学院:SAT/SMT 2011年暑期大学
Web安全
渗透测试实验室
OWASP应用安全系列教程
在线资源
多学科资源
ISIS实验室Wiki资源
博客、订阅、指南和链接
VulnHub
应用软件安全
HP Fortify Taxonomy:软件安全错误
应用软件安全读物
Fuzzing
CTF比赛
CTF比赛
WarGames
Forgotten Security’s CTF Wiki
CTFtime
嵌入式设备安全
软件人员的硬件黑客技术
嵌入式安全设备的黑客方法
巴纳比.杰克:嵌入式系统的漏洞挖掘
斯蒂芬.雷德利:硬件黑客视频
漏洞挖掘
Smashing The Stack For Fun And Profit
返回指标程序设计(ROP)的介绍
漏洞挖掘之旅
不同漏洞的资源列表
移动安全
自动动手攻击移动堆
IG初学者
OWASP igoat
OWASP GoatDroid
网络安全
OSI模型
Nmap网络扫描
安全项目
ISIS实验室项目创意
逆向工程
X86汇编
Web安全
Google Gruyere
OWASP代罪羔羊计划
Damn Vulnerable Web Application (DVWA)
推荐书籍
应用程序安全
软件安全评估的艺术
作者:Mark Dowd、John McDonald、Justin Schuh
BUG猎手日记
作者:Tobias Klein
Fuzzing:暴力漏洞挖掘
作者:Michael Sutton、Adam Greene、Pedram Amini
漏洞挖掘
黑客之道:漏洞挖掘的艺术
作者:Jon Erickson
ShellCoder手记:发掘和利用安全缺陷
作者:Chris Anley、John Heasman、Felix Lindner、Gerardo Richarte
网络安全
黑客大曝光:网络安全揭秘及解决方案
作者:Stuart McClure、Joel Scambray、George Kurtz
逆向工程
IDA Pro权威指南
作者:Chris Eagle
Reversing:逆向工程揭秘
作者:Eldad Eilam
Web安全
Web应用黑客手记:发现和利用安全缺陷
作者:Dafydd Stuttard、Marcus Pinto
复杂的Web:现代Web应用安全指南
作者:Michal Zalewski
观点4:lxghost,信息安全从业者
现在的人就喜欢到处推荐自己没看过的书,然后无趣又过时的书成了经典。