有哪些信息安全方面的經典書籍？

12-10

每個領域應該都有那麼一兩本聖經，比如編譯器里的龍書，資料庫里的Database Systems: The Complete Book / Database Management System。這裡想請教一下信息安全這塊應該閱讀哪本書籍。

IDF 實驗室曾經分享過相關的資料 .

我就直接搬運過來吧

背景知識

常規知識

Sun認證-Solaris 910安全管理員學習指南

PicoCTF資料

應用軟體安全

OWASP安全編碼規範

漏洞挖掘

Windows ISV軟體安全防禦

移動安全

OWASP十大移動手機安全風險

網路安全

常規網路攻擊類型

逆向工程

華盛頓大學：硬體/軟體介面

倫敦大學：惡意軟體和地下產業——一個巴掌拍不響

Web安全

OWASP十大Web應用安全風險

在線課程

多學科課程

ISIS實驗室黑客之夜

涉及源碼審計、Web安全、逆向工程、漏洞挖掘、Post-Exploitation、應用軟體安全

開放式安全訓練

涉及逆向工程、漏洞挖掘、取證技術、惡意軟體分析

佛羅里達州立大學：安全攻擊

涉及源碼審計、應用軟體安全、漏洞挖掘、網路安全、Web安全、Post-Exploitation

雪域大學SEED：發展教學實驗室計算機安全教育

涉及漏洞挖掘、網路安全、Web安全

斯坦福大學：計算機安全

涉及漏洞挖掘、網路安全、移動安全、應用軟體安全、Web安全、惡意軟體分析

Metasploit重磅出擊

涉及網路安全、應用軟體安全、漏洞挖掘、Post-Exploitation

密碼學

斯坦福大學密碼學Ⅰ

斯坦福大學密碼學Ⅱ

漏洞利用

Corelan團隊文章集

逆向工程

Thorsten Schneider博士：二進位代碼審計

Lena的教程：惡意軟體分析

mammon_"s tales to his grandson

程序分析

亞琛工業大學：靜態程序分析

麻省理工學院：SAT/SMT 2011年暑期大學

Web安全

滲透測試實驗室

OWASP應用安全系列教程

在線資源

多學科資源

ISIS實驗室Wiki資源

博客、訂閱、指南和鏈接

VulnHub

應用軟體安全

HP Fortify Taxonomy：軟體安全錯誤

應用軟體安全讀物

Fuzzing

CTF比賽

CTF比賽

WarGames

Forgotten Security"s CTF Wiki

CTFtime

嵌入式設備安全

軟體人員的硬體黑客技術

嵌入式安全設備的黑客方法

巴納比.傑克：嵌入式系統的漏洞挖掘

斯蒂芬.雷德利：硬體黑客視頻

漏洞挖掘

Smashing The Stack For Fun And Profit

返回指標程序設計（ROP）的介紹

漏洞挖掘之旅

不同漏洞的資源列表

移動安全

自動動手攻擊移動堆

IG初學者

OWASP igoat

OWASP GoatDroid

網路安全

OSI模型

Nmap網路掃描

安全項目

ISIS實驗室項目創意

逆向工程

X86彙編

Web安全

Google Gruyere

OWASP代罪羔羊計劃

Damn Vulnerable Web Application (DVWA)

推薦書籍

應用程序安全

軟體安全評估的藝術

作者：Mark Dowd、John McDonald、Justin Schuh

BUG獵手日記

作者：Tobias Klein

Fuzzing：暴力漏洞挖掘

作者：Michael Sutton、Adam Greene、Pedram Amini

漏洞挖掘

黑客之道：漏洞挖掘的藝術

作者：Jon Erickson

ShellCoder手記：發掘和利用安全缺陷

作者：Chris Anley、John Heasman、Felix Lindner、Gerardo Richarte

網路安全

黑客大曝光：網路安全揭秘及解決方案

作者：Stuart McClure、Joel Scambray、George Kurtz

逆向工程

IDA Pro權威指南

作者：Chris Eagle

Reversing：逆向工程揭秘

作者：Eldad Eilam

Web安全

Web應用黑客手記：發現和利用安全缺陷

作者：Dafydd Stuttard、Marcus Pinto

複雜的Web：現代Web應用安全指南

作者：Michal Zalewski

來源聲明：本文來自於Reddit網站netsec版塊《Getting Started in Information Security》

————————————割割割割割——————————————

ps : 樓主是12 年畢業的一枚普通 javaer , python 去年開始玩用的《python核心編程》,然後又玩了玩Django ，接著用Django 自己折騰了個小清新Blog，最近在轉 Web 安全滲透 , 目前用的書就這幾本 , 如果題主也是可以借鑒, 《白帽子講Web 安全》《黑客攻防技術寶典——Web 實戰篇》《metasploit滲透測試指南》《滲透測試指南：必知必會的工具與方法》《模糊測試強制挖據漏洞》，前端漏洞挖掘就餘弦大大的《Web 前端黑客技術解密》。

完整的Web滲透計劃的話，可以借鑒 [PentesterLab] Bootcamp，每個禮拜可以按照特定的任務來進行循循漸進，覺得差不多了的話就去挖漏洞吧，然後把漏洞提交到 wooyun 吧或者各大廠商的安全響應中心，裡面可以結識到很多基友的，晚上的肥皂有著落了哦。。（貌似離題了？）

哦，對了，既然認定了一個方向（無論哪個方向），那就努力沉下去，別淪為了一名「腳本小子」。

over

之前分享過一篇《購書心得》：誠求黑客書單？ - riusksk 的回答

1.計算機安全
Charles P.Pfleeger，Shari Lawrence Pfleege

2. 沒有任何漏洞
Egan,M. ,Mather,T.

3. 編寫安全的代碼
Howard,M. , LeBlanc,D.

4. 網路安全完全手冊
布拉格

5. 網路安全體系結構
Convery，S.

6. Web安全測試
Steven Splaine

7. 資料庫黑客大曝光——資料庫伺服器防護術
里奇費爾德

8. 黑客反彙編揭秘
卡巴斯基

9. 黑客之道：漏洞發掘的藝術
埃里克森

10.TCP/IP詳解。
斯蒂文斯
三卷看完兩卷，很有能力看三卷。

--------------------------------------------新添加----------------------------------

上面的書單有人說過於學術派，理論派。其實我覺得這些基礎還是有必要的。如果想精進，除開上面的書單，大學裡的操作系統，編譯原理這些專業課其實也不可少。

那就再添加一些應用性強的書籍。

掃盲：

小小黑客之路

腳本黑客攻防技術

web層：

白帽子談web安全 --刺

web前端技術解密--餘弦

TCP/ip網路攻擊探討：

堆棧攻擊-八層網路安全防禦

腳本語言的應用，推薦python：

Python灰帽子黑客與逆向工程師的Python編程之道

腳本黑客攻防技術

加密解密，加殼免殺：

加密與解密

工具應用:

Metasploit滲透測試魔鬼訓練營--諸葛建偉(推薦，寫的很細緻，從一半的位置開始有漏洞分析）

Metasploit滲透測試指南

內核：

寒江獨釣（先讀）

天書夜讀（再讀）

windows內核情景分析----毛德操（大神級讀物）

其它：
惡意代碼分析實戰
Q版緩衝區溢出教程

如果是初學者,我推薦讀導論類的書,即涵蓋各個方面,如果感興趣,可以自主深入學習,因此,我推薦兩本我自己非常喜歡的書:

1.Ross.Anderson&,集大成者,非常全面,哪怕是沒有很深的計算機基礎,也可以順利閱讀.特別是其附錄非常有價值,對書上任何一點感興趣,都可以順著附錄進行深化學習.

作者公開了書,可以免費閱讀
Security Engineering
也有中文版的出售.

2.CISSP的&也非常好,也是我常參閱的書.

-----------------------------------------------------------------------------------------------------------------------
其實,信息安全涵蓋面非常廣,如果讀上面的書,就發現連核武器密碼管理都有涉及.但仔細一想,怎麼去管理那麼多的密碼,並在核戰爭反擊時的既保證機密性和可用性吶?直覺告訴我們,這不是件容易的事.後來根據今年的新聞,美空軍的核武器密碼連續幾十年全部都是"00000000",以保證戰時順利能夠快速反擊.所以,安全不僅僅只是技術,往往最脆弱的環節還是人,因此,我推薦兩本非常開啟思維的書.

傳奇黑客Kevin Mitnick的&和&,這兩本書,從社會工程學的角度,談論了一下人在安全管理中的作用和問題.

HTTP協議詳解
TCP/IP協議配合 wireshark協議分析
Web安全測試
python核心編程
java核心編程

現在的人就喜歡到處推薦自己沒看過的書，然後無趣又過時的書成了經典。

《0day安全：軟體漏洞分析技術》

一個人的精力有限，選一個你想搞的方向再說。

＠餘弦＠大風
看關於安全的書少不了上面兩位的《白帽子講web安全》，《web前端黑客技術揭秘》
＠Evi1m0 推薦了一批書單可以閱讀一下，個人認為書單內容是不錯的，我自己也是按著書單買了兩本書。
《metasploit滲透測試指南》也是非常不錯的好書，當然不只是看書也要了解最新的漏洞，以及烏雲眾基的挖洞思維。
軟體安全可以多看看視頻教程，有基礎的看雪，0基礎的吾愛，裡面的人都不錯。
多逛逛論壇，也許咱們還會再見的。

Evi1m0 的書籍推薦
Evi1m0: 書籍推薦 - 微信公眾號：Evil-say - 知乎專欄

信息安全，不一定都是黑客技術啊。看下cissp的教材吧，俗稱all in one

信息安全的範圍實在是太廣泛了，主機安全、web安全、資料庫安全、無線安全……
有一本書叫《黑客大曝光：網路安全機密與解決方案》，網上的介紹都說它是信息安全界的聖經。現在已經到第7版了，我買了1本。它詳細地介紹了信息收集、windows/unix主機攻擊、硬體攻擊、無線攻擊……我覺得你可以看一下這本書，它比較全面，你可以通過它找到自己的興趣點所在，然後再去有針對性地找那個方面的書籍。

信息安全涵蓋相當廣泛的知識領域，如果真的想學習，不是看一本兩本經典書籍能夠解決的。
初學的話建議看《CISSP ALL IN ONE》、《黑客大曝光》，如果有耐心看完，可以對信息安全的知識體系有個初步的了解，然後再選擇自己感興趣的面深入學習。

這個行業目前來說都是在「開荒」的過程中，各路大神都神通廣大，不過總體來說作為信息安全從業人員，往前發展的有兩條路，一是技術派，也就是前面 @雲舒所說的實踐派，另外就是管理派，大致說也就是標準派（目前來說我個人就是這個「派系"的一份子）。一般建議是在哪個坑就往那個方向發展，意思是說看個人所處的環境和經歷了。
現在無論是技術派還是管理派最大的問題就是在許多企業技術派沒辦法「高大上」，而管理派呢沒辦法「接地氣」，就目前的趨勢來說各有各的優勢和說法，但是從事務發展的角度來說，管理派不可能永遠不"接地氣"，而技術派也不可能永遠不會」高大上「，早晚兩者之間的間隔就會打通，所以對於個人而言最好的是現在都儲備知識和技能(個人也在努力補齊技術這塊短板)。
一句話未來的信息安全行業有點」金麟豈是池中物,一遇風雲便化龍」的味道，對於具體書籍就不推薦了，前面各位同志推薦的都是好書（有好多我也沒看過），可依據個人情況並結合現在和未來的個人閱讀自己想要的書籍。

應用密碼學，好像出第二版了
http://m.douban.com/book/subject/25772389

信息安全之遼闊，非常人所能盡知。少年，找准一門興趣，努力專研吧，前面人提到的太多，切記，沒有一個人能把所有的知識都學完。

安全的最高境界就是社工=偽裝與欺騙

說一個我經常看的
在緩衝區溢出攻擊這方面 XFOCUS安焦的《網路滲透技術》我個人認為是最好的書了！
涉及的系統平台很多，很全面，可惜這本書絕版了(買不到)
網路上有電子版和配套代碼資料
網路安全焦點::自由的信息安全、黑客攻防和漏洞研究組織

讀一篇文章：知乎專欄→黑客說→信息安全/網路安全/黑客技術如何入門。裡面有詳細的書單，可以參考

職場小白，想學信息安全方面的知識，請大神們推薦幾本書。