有哪些信息安全方面的經典書籍?
每個領域應該都有那麼一兩本聖經,比如編譯器里的龍書,資料庫里的Database Systems: The Complete Book / Database Management System。 這裡想請教一下信息安全這塊應該閱讀哪本書籍。
IDF 實驗室 曾經 分享 過 相關的 資料 .
我就直接 搬運 過來吧
背景知識
常規知識
Sun認證-Solaris 910安全管理員學習指南
PicoCTF資料
應用軟體安全
OWASP安全編碼規範
漏洞挖掘
Windows ISV軟體安全防禦
移動安全
OWASP十大移動手機安全風險
網路安全
常規網路攻擊類型
逆向工程
華盛頓大學:硬體/軟體介面
倫敦大學:惡意軟體和地下產業——一個巴掌拍不響
Web安全
OWASP十大Web應用安全風險
在線課程
多學科課程
ISIS實驗室黑客之夜
涉及源碼審計、Web安全、逆向工程、漏洞挖掘、Post-Exploitation、應用軟體安全
開放式安全訓練
涉及逆向工程、漏洞挖掘、取證技術、惡意軟體分析
佛羅里達州立大學:安全攻擊
涉及源碼審計、應用軟體安全、漏洞挖掘、網路安全、Web安全、Post-Exploitation
雪域大學SEED:發展教學實驗室計算機安全教育
涉及漏洞挖掘、網路安全、Web安全
斯坦福大學:計算機安全
涉及漏洞挖掘、網路安全、移動安全、應用軟體安全、Web安全、惡意軟體分析
Metasploit重磅出擊
涉及網路安全、應用軟體安全、漏洞挖掘、Post-Exploitation
密碼學
斯坦福大學密碼學Ⅰ
斯坦福大學密碼學Ⅱ
漏洞利用
Corelan團隊文章集
逆向工程
Thorsten Schneider博士:二進位代碼審計
Lena的教程:惡意軟體分析
mammon_"s tales to his grandson
程序分析
亞琛工業大學:靜態程序分析
麻省理工學院:SAT/SMT 2011年暑期大學
Web安全
滲透測試實驗室
OWASP應用安全系列教程
在線資源
多學科資源
ISIS實驗室Wiki資源
博客、訂閱、指南和鏈接
VulnHub
應用軟體安全
HP Fortify Taxonomy:軟體安全錯誤
應用軟體安全讀物
Fuzzing
CTF比賽
CTF比賽
WarGames
Forgotten Security"s CTF Wiki
CTFtime
嵌入式設備安全
軟體人員的硬體黑客技術
嵌入式安全設備的黑客方法
巴納比.傑克:嵌入式系統的漏洞挖掘
斯蒂芬.雷德利:硬體黑客視頻
漏洞挖掘
Smashing The Stack For Fun And Profit
返回指標程序設計(ROP)的介紹
漏洞挖掘之旅
不同漏洞的資源列表
移動安全
自動動手攻擊移動堆
IG初學者
OWASP igoat
OWASP GoatDroid
網路安全
OSI模型
Nmap網路掃描
安全項目
ISIS實驗室項目創意
逆向工程
X86彙編
Web安全
Google Gruyere
OWASP代罪羔羊計劃
Damn Vulnerable Web Application (DVWA)
推薦書籍
應用程序安全
軟體安全評估的藝術
作者:Mark Dowd、John McDonald、Justin Schuh
BUG獵手日記
作者:Tobias Klein
Fuzzing:暴力漏洞挖掘
作者:Michael Sutton、Adam Greene、Pedram Amini
漏洞挖掘
黑客之道:漏洞挖掘的藝術
作者:Jon Erickson
ShellCoder手記:發掘和利用安全缺陷
作者:Chris Anley、John Heasman、Felix Lindner、Gerardo Richarte
網路安全
黑客大曝光:網路安全揭秘及解決方案
作者:Stuart McClure、Joel Scambray、George Kurtz
逆向工程
IDA Pro權威指南
作者:Chris Eagle
Reversing:逆向工程揭秘
作者:Eldad Eilam
Web安全
Web應用黑客手記:發現和利用安全缺陷
作者:Dafydd Stuttard、Marcus Pinto
複雜的Web:現代Web應用安全指南
作者:Michal Zalewski
來源聲明:本文來自於Reddit網站netsec版塊《Getting Started in Information Security》
————————————割割割割割——————————————
ps : 樓主 是12 年 畢業的 一枚普通 javaer , python 去年開始玩 用的《python核心編程》,然後又玩了玩Django , 接著用Django 自己折騰了個小清新Blog, 最近在 轉 Web 安全滲透 , 目前 用的書 就這幾本 , 如果題主 也是 可以借鑒, 《白帽子講Web 安全》《黑客攻防技術寶典——Web 實戰篇》《metasploit滲透測試指南》《滲透測試指南:必知必會的工具與方法》《模糊測試強制挖據漏洞》 , 前端 漏洞挖掘 就 餘弦 大大 的《Web 前端黑客技術解密》 。
完整的Web滲透計劃的話,可以借鑒 [PentesterLab] Bootcamp, 每個禮拜 可以按照特定的 任務來進行循循漸進,覺得差不多了的話 就 去 挖漏洞吧,然後把漏洞提交到 wooyun 吧或者各大廠商的安全響應中心,裡面可以結識到很多 基友的,晚上的肥皂有著落了哦。。(貌似離題了?)
哦,對了, 既然認定了一個方向(無論哪個方向),那就努力沉下去,別淪為了一名 「腳本小子」。
over
之前分享過一篇《購書心得》:誠求黑客書單? - riusksk 的回答
1.計算機安全
Charles P.Pfleeger,Shari Lawrence Pfleege
2. 沒有任何漏洞
Egan,M. ,Mather,T.
3. 編寫安全的代碼
Howard,M. , LeBlanc,D.
4. 網路安全完全手冊
布拉格
5. 網路安全體系結構
Convery,S.
6. Web安全測試
Steven Splaine
7. 資料庫黑客大曝光——資料庫伺服器防護術
里奇費爾德
8. 黑客反彙編揭秘
卡巴斯基
9. 黑客之道:漏洞發掘的藝術
埃里克森
10.TCP/IP詳解。
斯蒂文斯
三卷看完兩卷,很有能力看三卷。
--------------------------------------------新添加----------------------------------
上面的書單有人說過於學術派,理論派。其實我覺得這些基礎還是有必要的。如果想精進,除開上面的書單,大學裡的操作系統,編譯原理這些專業課其實也不可少。
那就再添加一些應用性強的書籍。
掃盲:
小小黑客之路
web層:
白帽子談web安全 --刺
web前端技術解密--餘弦
TCP/ip網路攻擊探討:
堆棧攻擊-八層網路安全防禦
腳本語言的應用,推薦python:
Python灰帽子 黑客與逆向工程師的Python編程之道
腳本黑客攻防技術加密解密,加殼免殺:
加密與解密
工具應用:
Metasploit滲透測試魔鬼訓練營--諸葛建偉(推薦,寫的很細緻,從一半的位置開始有漏洞分析)
Metasploit滲透測試指南
內核:
寒江獨釣(先讀)
天書夜讀(再讀)
windows內核情景分析----毛德操(大神級讀物)其它:
惡意代碼分析實戰
Q版緩衝區溢出教程
如果是初學者,我推薦讀導論類的書,即涵蓋各個方面,如果感興趣,可以自主深入學習,因此,我推薦兩本我自己非常喜歡的書:
1.Ross.Anderson&
作者公開了書,可以免費閱讀
Security Engineering
也有中文版的出售.
2.CISSP的&
-----------------------------------------------------------------------------------------------------------------------
其實,信息安全涵蓋面非常廣,如果讀上面的書,就發現連核武器密碼管理都有涉及.但仔細一想,怎麼去管理那麼多的密碼,並在核戰爭反擊時的既保證機密性和可用性吶?直覺告訴我們,這不是件容易的事.後來根據今年的新聞,美空軍的核武器密碼連續幾十年全部都是"00000000",以保證戰時順利能夠快速反擊.所以,安全不僅僅只是技術,往往最脆弱的環節還是人,因此,我推薦兩本非常開啟思維的書.
HTTP協議詳解
TCP/IP協議 配合 wireshark協議分析
Web安全測試
python核心編程
java核心編程
現在的人就喜歡到處推薦自己沒看過的書,然後無趣又過時的書成了經典。
《0day安全:軟體漏洞分析技術》
一個人的精力有限,選一個你想搞的方向再說。
@餘弦 @大風
看關於安全的書少不了上面兩位的《白帽子講web安全》,《web前端黑客技術揭秘》
@Evi1m0 推薦了一批書單可以閱讀一下,個人認為書單內容是不錯的,我自己也是按著書單買了兩本書。
《metasploit滲透測試指南》也是非常不錯的好書,當然不只是看書也要了解最新的漏洞,以及烏雲眾基的挖洞思維。
軟體安全可以多看看視頻教程,有基礎的看雪,0基礎的吾愛,裡面的人都不錯。
多逛逛論壇,也許咱們還會再見的。
Evi1m0 的書籍推薦
Evi1m0: 書籍推薦 - 微信公眾號:Evil-say - 知乎專欄
信息安全,不一定都是黑客技術啊。看下cissp的教材吧,俗稱all in one
信息安全的範圍實在是太廣泛了,主機安全、web安全、資料庫安全、無線安全……
有一本書叫《黑客大曝光:網路安全機密與解決方案》,網上的介紹都說它是信息安全界的聖經。現在已經到第7版了,我買了1本。它詳細地介紹了信息收集、windows/unix主機攻擊、硬體攻擊、無線攻擊……我覺得你可以看一下這本書,它比較全面,你可以通過它找到自己的興趣點所在,然後再去有針對性地找那個方面的書籍。
信息安全涵蓋相當廣泛的知識領域,如果真的想學習,不是看一本兩本經典書籍能夠解決的。
初學的話建議看《CISSP ALL IN ONE》、《黑客大曝光》,如果有耐心看完,可以對信息安全的知識體系有個初步的了解,然後再選擇自己感興趣的面深入學習。
這個行業目前來說都是在「開荒」的過程中,各路大神都神通廣大,不過總體來說作為信息安全從業人員,往前發展的有兩條路,一是技術派,也就是前面 @雲舒所說的實踐派,另外就是管理派,大致說也就是標準派(目前來說我個人就是這個「派系"的一份子)。一般建議是在哪個坑就往那個方向發展,意思是說看個人所處的環境和經歷了。
現在無論是技術派還是管理派最大的問題就是在許多企業技術派沒辦法「高大上」,而管理派呢沒辦法「接地氣」,就目前的趨勢來說各有各的優勢和說法,但是從事務發展的角度來說,管理派不可能永遠不"接地氣",而技術派也不可能永遠不會」高大上「,早晚兩者之間的間隔就會打通,所以對於個人而言最好的是現在都儲備知識和技能(個人也在努力補齊技術這塊短板)。
一句話未來的信息安全行業有點」金麟豈是池中物,一遇風雲便化龍」的味道,對於具體書籍就不推薦了,前面各位同志推薦的都是好書(有好多我也沒看過),可依據個人情況並結合現在和未來的個人閱讀自己想要的書籍。
應用密碼學,好像出第二版了
http://m.douban.com/book/subject/25772389
信息安全之遼闊,非常人所能盡知。少年,找准一門興趣,努力專研吧,前面人提到的太多,切記,沒有一個人能把所有的知識都學完。
安全的最高境界就是社工=偽裝與欺騙
說一個我經常看的
在緩衝區溢出攻擊這方面 XFOCUS安焦的《網路滲透技術》我個人認為是最好的書了!
涉及的系統平台很多,很全面,可惜這本書絕版了(買不到)
網路上有電子版和配套代碼資料
網路安全焦點::自由的信息安全、黑客攻防和漏洞研究組織
讀一篇文章:知乎專欄→黑客說→信息安全/網路安全/黑客技術如何入門。裡面有詳細的書單,可以參考
職場小白,想學信息安全方面的知識,請大神們推薦幾本書。
推薦閱讀:
※為什麼有些格式(如:wmv)的視頻不能加速播放?
※蘋果的logo有沒有特殊的意義?
※數學沒考好,應該如何走出陰影?
※編程初學者如何正確高效讀文檔?