有哪些可以深入學習信息安全、網路安全的地方?
一直對這些個方面很有興趣(當然現在不僅僅停留在興趣上了),也非常想學習,也想成為這一方面的一員,終於在思考了很久以後於今天辦了休學,想利用一年的時間去好好學習一下關於這些方面的知識(學習任何東西都是避諱學習幾年或者幾年之內學有所成,重在選擇了這個行業就要在此一直走下去,可是我現在只能給自己一個期限,當然,這個是專註於這方面專業學習的時間,以後也會一如現在般的去學習),至於為什麼想學習這方面的知識呢,還得從99年說起,那是我接觸互聯網的一年,感覺特讓人著迷的,曾經也沉迷於過網路遊戲,致使爸媽極度反對我學習這些(他們以為我是想變著法兒的玩),因此…………直到現在才付諸於行動(昨天一晚所思所想後的結果,原來人真的可以一夜長大好多……………………………………………………)
在此煩請各位大牛、前輩、老師給推薦一個地方去學習,謝謝。
N年前我寫過一些文章,比較亂,是從我個人的角度去觀察和理解的:
閑話信息安全入門今天扯一下甲方的信息安全方案 (請重點關注以下3個鏈接,當然,這3個就不是我寫的了)信息安全從業參考
信息安全職業生涯CSO的生存藝術最近flashsky也在撰寫自己的「回憶錄」性質的「安全之路」小說體blog,請追蹤。
我的安全之路(1)_FlashSky(翰海源)的空間另外,
興趣是最好的老師。幹壞事是人最初的本能,也很能帶來成就感。這些壞事可以有:1. 訂閱所有的黑客/安全 方面的技術雜誌和書籍、BLOG(這個看幻影的RSS聚合就夠了,地址是http://secinn.appspot.com/ ,用Google Reader訂閱);2013.7.5更新: Google Reader已經關閉了,哀傷一下
2. 按照書上/網上的方法,試試獲得第一個自己的webshell、肉雞(別弄國內的),破解第一個軟體,sniffer下第一個別人的密碼……通過實踐的方式感性了解攻擊手段;幹了上面的壞事以後,
你必須知道那些不是根本,你要繼續做如下的學習。3. 深入了解每一項技術關聯的本質:網路原理、操作系統原理、某個編程語言和編譯原理、資料庫…這裡要學的計算機知識其實跟大學生課程里的差不多,至少以後能說幾個RFC,基於自己的興趣開發過操作系統的DEMO,讀過PHP的源代碼(是PHP的源碼,不是用PHP寫的源碼)……
(2013.7.15 更新 :這裡有點裝X的成分,不過仔細閱讀很多的漏洞分析文章,大多鑽研本質的時候,都會提到這些東西。那時候,我以為大牛提到Linux內核,就是把整本Linux內核的書都看完的,過了很多年,我才知道,有些大牛是研究的時候,才去臨時深究的……
如果一開始抱著一本Linux內核或者深入解析Windows,可能一兩年內都看不完,很容易失去耐心)4. 用理論體系化自己的知識結構,CISSP是聖經和入門必備的體系化知識,然後了解乙方項目里最喜歡用來忽悠的國際/國內安全標準,什麼7799系列,ISO 20000系列,ITIL、COBIT等
5. 找一家有安全團隊的公司來實習,最好是有一個肯帶你的team leader
嗯,這些內容還是比較龐大的。
實際上你真的到了一家公司去,會被安插在某一個特定的位置。
以後的技能也會為了符合這個崗位的需要而繼續發展。我說的也不必所有都會。
我比較少看見能懂彙編,掛鉤子,挖網路協議0day的,同時又對web安全了如指掌,還能有體系化的安全理論知識。根據個人特長和興趣愛好,以及工作需要吧。
2013.7.15 更新:總結,因興趣而實踐,但不僅止步於表面,而是刨根究底,最後根據個人特質,挑選符合自己條件的領域持續深入。只不過,信息安全的基礎是計算機知識,一個好的安全工程師,往往在很多領域上都抵得上一個熟練的工作者,比如運維工程師、程序員、DBA、MIS……我來推薦一個我自己打理的微信公眾號 : 正宗好PT所有的內容保證原創,我會經常寫一些信息安全方面的文章。
一些歷史文章,按照日期順序:
淺談一下為何我覺得Windows比Linux更安全~大牛重器之Radare 2,初識篇,解一個簡單的Linux crackme~漫談硬體固件安全之編程導出efi啟動文件~慶祝升級為原創號,淺談如何看晶元的規範和Datasheet寫程序~看了下Linux Mint被植入後門的官方鏡像~(附ISO下載)動態分析shellcode的神器Miasm之安裝和簡介篇~淺析Rootkit ZeroAccess v3の隱藏和載入技術~淺談人工智慧和反病毒的一些聯想~淺談x64中CPU中邏輯地址到物理地址映射過程~漫談硬體固件安全之手動導出並檢測固件~
淺談硬體固件後門的危害和固件安全檢測的必要性~以badBIOS為例淺談手工確認UEFI Firmware固件的方法~淺析彙編中用LEA代替MUL乘法指令的原理(包含64位)~再回首那些年我們一起殺過的病毒之Rootkit的巔峰之作ZeroAccess~淺談JS注入投毒以及JS緩存劫持~豆知識之隱藏/克隆賬戶的危害及檢測~大牛重器之IDAPython,輕鬆一點勝人一籌~從CVE-2015-6172/CVE-2012-0158來看分析RTF字體文件病毒~再回首那些年我們一起殺過的病毒之2011年毒王BMW BIOS Bootkit~打算增加UEFI Bootkit檢測,裝了個EFI+GPT的虛擬機和UEFI開發環境~
淺談lnk快捷方式木馬感染電腦的方式,另附技能棧腦圖高清版~安全攻城獅研發技能棧V1.0,附詳細點評~用敲詐者木馬TeslaCrypt來介紹幾款在線病毒分析系統~談一談Microsoft Edge和Google Chrome自動下載功能的風險~淺談無文件(Fileless)類型病毒木馬之數據流篇~淺談無文件(Fileless)類型病毒木馬之註冊表篇~Enterprise Killer--用漏洞傳播漏洞的經典案例,附手動防禦方法~淺談用DACLs保護文件,以及編程繞過DACLs讀寫文件(最簡方法,有碼)~淺談DLL劫持漏洞之手動防禦~扒一扒上周很火的Office COM+ OLE DLL劫持~
遭到0day漏洞攻擊後,用PowerTool怎麼看?關於這兩天很火的敲詐者木馬TeslaCrypt 2.2.012月7號公布的,現在有1100多位小夥伴關注,尚屬於小眾公眾號,感興趣的朋友可以關注一下^_^http://weixin.qq.com/r/B0w8JGbE8juNrSJH9xkV (二維碼自動識別)
信息安全涵蓋真的特別大,小到各種語言,抓包,中到網頁,資料庫,大到社工,對抗,想清楚感興趣的是哪一塊,大家說了不少自學的方法,我說三個培訓的地方,一,大學,尤其是那些開信息安全信息對抗碩士專業的,二,思科的CCNP及以上,挺貴,三,各種公司。那這回到最開始的那個問題,每個公司基本只會在信息安全的某一兩個領域比較專,如360網路了國內大半WIN底層的專家,其他有其他的偏好。希望你用休學的這段時間好好做職業規劃,做自己一輩子開心的事
我認識的很多熱愛信息安全,網路安全的大都是從感興趣黑客知識開始,然後慢慢發展成為從事安全類的相關工作.有計算機專業的,也有非計算機專業的.大都是泡論壇開始.早期的有黑基 黑客動畫吧,新世紀網安基地等等.看上面的免費教程,有條件的搞個VIP,然後看教程.不過很多最後都發展成為抓雞 盜號 掛馬流了.主要是因為沒有相關的計算機基礎支持做支撐,發展到一定程度會到一個瓶頸,然後很難繼續進步.或者是只喜歡攻,不喜歡防.所以只了解攻擊方面的東西,沒有學防範的知識.最後是成不了一個網路安全方面的技術人才的.
如果你熱愛網路信息安全,並且想之後從事這個方面的工作,最好是先學一些計算機方面的知識,比如2003系統,linux系統知識.然後學至少一門web語言,比如php,http://asp.net等,然後學習了解一下網路方面的一些知識.比如TCP/IP相關,DOS命令等,然後再學一點資料庫方面的知識.不需要你有多精通這些 ,但是至少需要知道了解一些 .
然後 有以上的基礎做支撐,可以考慮去找一個論壇整點VIP教程看看.當然最好有駐地培訓的最好.不過一年的話估計很難學到什麼層次.推薦駐地培訓的那種機構,不過好像很少,我目前不知道!網路安全學習資料大全
1、Web security
1. 《http權威指南》【圖靈出品】: 深入理解web http/https協議 ,了解超文本傳輸協議是如何進行傳輸和編譯的。
2. 《javascript權威指南》:淘寶前端團隊翻譯,深入了解前端js變數,注釋,函數,表達式等,學習xss必備書籍。還提及了jquery類庫。
3. 《xss跨站腳本攻擊與防禦》: 學習xss基礎必備。也是目前國內唯一一本專門介紹xss技巧的書籍.
4. 《白帽子講web安全》: 阿里安全專家吳瀚清處女作,大佬級黑客ucloud創始人季昕華做序,已成為web安全從業人員入門必看學習書籍。
5. 《web前端黑客技術揭秘》: 主要包含Web 前端安全的跨站腳本(XSS)、跨站請求偽造(CSRF)、界面操作劫持這三大類,涉及的知識點涵蓋信任與信任關係、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生態攻擊、高級釣魚、蠕蟲思想等,這些都是研究前端安全的人必備的知識點。
6. 《代碼審計:企業級web安全代碼架構》配合《細說php》最佳: 阿里巴巴安全專家尹毅的新書,剛畢業就出書實在佩服。看了目錄非常有料啊,預計12.8上貨。
7. 《kali linuxback track滲透測試實踐》【圖靈出品】:沒看過,淘寶看了下目錄還不錯的樣子.
8.《sql注入攻擊與防禦》: 詳細的介紹了sql盲注等各種注入技巧。web安全入門必看。
9. 《網路掃描技術揭秘》: 出版已超過三年的老書,主要介紹網路掃描技術。如:分散式掃描,高速掃描等。
10. 《python黑帽子》 : 作者根據自己在安全界,特別是滲透測試領域的幾十年經驗,向讀者介紹了Python 如何被用在黑客和滲透測試的各個領域,從基本的網路掃描到數據包捕獲,從Web 爬蟲到編寫Burp 擴展工具,從編寫木馬到許可權提升等.
11. 《黑客技術攻防寶典:web安全篇》: 看第一遍的時候可能看不懂講的什麼,主要看目錄,一本普及面非常廣闊的知識性圖書,但是每個知識點概括不會很詳細。也很值得收藏。
2、Mobile security
1) android security:
1. 《andriod軟體安全與逆向分析》: 我大非蟲原創處女作,通俗易懂涉及面廣。不管新手老手都適合看。全書主要講解Android 環境搭建,Android組件,Android軟體安全測試之法。
2. 《android安全攻防指南》: 眾多大牛推薦…自然是不少乾貨為白帽子提供了漏洞發現、分析和利用的使用工具。在詳細介紹android操作系統工作原理和總體安全架構後,研究了如何發現漏洞,為各種系統部件開發利用,並且進行應對。移動設備管理者、安全研究員、android應用程序開發者和負責評估android安全性的顧問都可以在本書中找到必要的指導和工具。
3. 《andriod安全攻防實戰》: 沒看過。。。看看目錄還行。
4. 《andriod安全技術揭秘與防範》: 一本新書,紅衣教主推薦的,已加入豪華購物車。未閱。
5. 《android系統安全和反彙編實戰》 沒看過,聽說很不錯。
2) ios security:
1. 《ios應用安全攻防實戰》:如何保障自己的應用數據安全?本書提供一些用於防禦常見攻擊方法的方式。
2. 《黑客攻防技術寶典ios實戰篇》:國際大牛之作,介紹iOS應用漏洞挖掘方式,模糊測試技巧。
3. 《ios取證實戰》: 沒看過,收藏很久了。
4. 《ios應用逆向工程》: 國內iOS老手杜總的力作,充分介紹iOS 安全機制,iOS反彙編技巧。
5. 《移動應用安全》: 主要從Android iOS windows mobile三個方向談及安全知識。
6. 《移動終端安全關鍵技術與分析》: 我發現的唯一一本講移動終端安全的書籍,純知識性。
3、Bin or Reverse Engineering
1. 《intel微處理器》:看雪壇友推薦,看了下目錄是真心好啊,已加入豪華購物車…
2. 《逆向工程核心原理》: 韓國翻譯過來的逆向書籍,深入淺出各種反彙編大法。調試大法,上鉤大法。介紹利用各種工具。特別適合入門。
3. 《加密與解密》: 看雪論壇創始人鍛鋼著作,經典之經典。主要介紹軟體逆向,調試。反彙編,加殼脫殼等技術。
4. 《挖0day》: 八進位核心成員編寫,測試方法基本過期。但是對於軟體特性,漏洞挖掘思路絕對腦洞一開。
5. 《有趣的二進位》:不僅僅是書有趣,作者也是個有趣的人~一本由日文翻譯過來的二進位安全書籍,翻譯的非常仔細,仔細到調試工具里的彈窗文字都要翻譯註釋下來。基礎書籍,事宜入門。也學學島國的安全技術吧(天吶,我這麼純潔的人島國是什麼鬼…)
6. 《模糊測試 強制發掘安全漏洞的利器》: 超經典書籍。裡面介紹的挖掘方法基本過期。但是技術思路和全書介紹的不少fuzz工具絕對值得收藏。
7. 《彙編語言》: 了解彙編語言,寄存器,地址布局,彙編指令,數據段是件對逆向工程有好處的事兒~
8. 《格蠹彙編 軟體調試案例錦集》: 其實第二個字我還是不認識,不過淘寶搜索格囊彙編就行了。全書通篇介紹作者軟體調試實戰。沒有一點水貨~也不扯淡。學軟體調試就看這個了。
9. 《軟體調試》: 上面那本書的姊妹篇,同一個作者。
10. 《逆向工程實戰》: 這本書一上來就分析棧操作和函數調用,對於新手來說不建議直接就啃。不過內容詳細,看看上面的其他書籍或者了解一下彙編和C語言知識再啃這個比較合適。
4、稍偏門類安全類
1. 無線:《無線網路黑客攻防》,詳細介紹包括但不限於無線網路,無線藍牙等無線攻防技術。了解什麼是wpa,什麼是cowpatty,mdk3。介紹 Auth Flood攻擊 Deauth Flood攻擊 Association Flood攻擊 Disassociation Flood攻擊RF Jamming攻擊和各種漏洞測試方法。
2. 《揭秘家用路由0day漏洞挖掘技術》: 夠詳細,連指令表都有。從路由器web。客戶端,以及硬體安全方面介紹,介紹了各種測試方法,利用方式,掃描技術。
3. 內核: 《內核漏洞的利用與防範》 ,不是很好理解的一本書,畢竟內核漏洞也不是想挖就挖的到的……
4. 瀏覽器:《web之困》,這是一本不介紹漏洞,也不講測試的經典書。全原理式講解瀏覽器安全的前世今生~
5. 數據安全:《數據驅動安全》,360某安全團隊翻譯過來的…大數據時代,當然用數據說話…只是對照著英文版發現有一丟丟的翻譯錯誤。不過…也確實不可錯過的好書,畢竟這類安全的中文書籍僅此一本。
6. 雲計算安全:《信息安全技術 雲計算服務安全指南》。
7. 沒看過,湊數用的: tools books:(工具書就不用介紹了,幹啥用的都知道。)《metasploit滲透測試指南》、《wireshark2數據包分析實戰》、《ida pro權威指南》 《kali linux滲透測試的藝術》、《github入門與實踐》、《fiddle調試權威指南》、《計算機安全超級工具集》、《雷神的微軟平台寶典》。
5、linux 類
1. 《linux內核源碼剖析》上/下 : 幾乎把Linux開源的每一段代碼,每一條函數都拿出來分析。所以分成兩本比較厚的書。了解Linux內核源碼,操作原理就選這個了。
2. 《鳥哥的linux私房菜》: Linux安裝到使用,搭建到指令。最最基礎的Linux學慣用書,本應放在第一位,但是上面那套實在太好了。
3. 《linux內核完全注釋》《ram linux內核源碼剖析》
4. 《linux內核設計與實現》: 出版超過3年的經典書籍。從Linux內核進程,內核線程,調度,系統調用,中斷和異常處理等方面概述了Linux內核的設計與實現原理。
5. 《tcp/ip詳解》:描述了屬於每一層的各個協議以及它們如何在不同操作系統中運行。作者用lawrence berkeley實驗室的tcpdump程序來捕獲不同操作系統和tcp/ip實現之間傳輸的不同分組。對tcpdump輸出的研究可以幫助理解不同協議如何工作。
6、IT思維
1. 《我的互聯網方法論》: 周鴻禕的龍頭之作。他講的方法其實就是他的產品理念,剛拿到的這本書的我是花一個下午一口氣看完的~可見它內容的吸引力!
2. 《增長黑客》:書名寫著「黑客」講的主題卻是營銷,用大數據說明如何利用「黑客」為自己增值。適合創業者看~
3. 《德魯克全書》:這本書本跟IT無關,但是裡面的故事大多發生在互聯網公司,並且適合創業者或者管理者閱讀。一種把員工當成客戶(上帝)的思維,層出不窮的管理體系理念。非常棒的管理思維。
4. 《谷歌是如何運營的》:想運營好自己的公司或者部門,可以先從這裡參考或者一下學習一下谷歌是怎麼做的。
5. 《喬布斯傳》:喬布斯是我一直的偶像,真正的偶像。他的產品理念和創新思維絕對一流。不管是技術員,管理員,運維,CEO,都值得看看。
6. 《騰訊傳》 話說馬化騰,道言張小龍。講QQ,談微信!
7、優質的學習資源
1. 知乎周刊:http://zhuanlan.zhihu.com/
2. 碼農周刊:http://weekly.manong.io/
3. Pycoders Weekly:http://pycoders.com/archive/
4. Hacker News:https://news.ycombinator.com/
5. 合天網安實驗室:http://www.hetianlab.com
6. Startup News:http://news.dbanotes.net/
7. 極客頭條:http://geek.csdn.net/
8. InfoQ:http://www.infoq.com/cn
9. Stack Overflow:http://stackoverflow.com/
10. GitHub:https://github.com/
11. FreeBuf:http://www.freebuf.com/
12. csdn博客:http://blog.csdn.net
13. 博客園:http://www.cnblogs.com
14. 雷鋒網:http://leiphone.com
15. 吾愛破解:http://52pojie.cn
16. 看雪論壇:http://bbs.pediy.com
17. 綠盟科技博客:http://blog.nsfocus.net/
18. E安全:http://www.easyaq.com/
19.360播報:http://bobao.360.cn
20. 遊俠安全網 http://www.youxia.org
8、第三方漏洞平台
1. 補天漏洞響應平台 (https://butian.360.cn/ ): 自稱是全球最大的漏洞平台,擁有上萬名白帽子,對通用型漏洞獎金略高,1kb=3rmb。
2. 漏洞盒子(https://www.vulbox.com/ ): freebuf創辦。
3. Sobug 眾測平台(https://sobug.com/ ): 冷 焰創辦。
4. sebug漏洞庫(https://www.sebug.net/ ):一家以收集poc或exp為獎勵的平台,據說挺贊的。
5. 比戈大牛(http://www.bigniu.com ): 新平台,以收購android bin漏洞為主,獎勵很豐厚。
6. 阿里雲盾先知計劃( http://xianzhi.aliyun.com/ ):看到的第一反應是。阿里也收別人的漏洞了,不過只收通用漏洞 最高獎金50w。
9、企業SRC
1. 網易安全中心 ( http://aq.163.com ):沒刷過,不知道。看了商城,五塊錢都可以換…
2. 騰訊安全應急響應中心 ( http://security.tencent.com/):據說是全中國最好的SRC。
3. 阿里巴巴安全應急響應中心(https://security.alibaba.com/ ):有錢任性,平台負責人是個高顏值帥哥。
4. 新浪安全應急響應中心(http://sec.sina.com.cn/): 渣浪據說不咋地,沒刷過…
5 . 百度安全中心(http://sec.baidu.com/): 獎勵不是很高,作為bat卻排在了最後。
6. 京東安全應急響應中心( http://security.jd.com/ ):獎勵在步步提升了,並且和asrc一樣有流動全國沙龍巡演。
7. 360安全應急響應中心 (http://security.360.cn/ ): 月排名獎金真的很吸引人!
8. 1號店安全應急響應中心( http://security.yhd.com/ ): 沒刷過。
9. 金山安全應急響應中心(http://sec.kingsoft.com/ ): 小氣小氣小氣小氣小氣....
10 . 攜程安全應急響應中心(http://sec.ctrip.com/ ): 商城禮品略少正在逐步改善…
11. 去哪兒安全應急響應中心 ( http://security.qunar.com/ ): 沒刷過…
12. 搜狗安全應急響應中心( http://sec.sogou.com/): 1安全幣=1RMB。
13. 小米安全中心(https://sec.xiaomi.com/ ): 獎金不多,也不算少,直接打錢的src.
14 . 聯想安全應急響應中心( http://lsrc.lenovo.com/index.htm): 獎金正在逐步提升,不時翻倍.
15. 深信服安全響應中心(http://security.sangfor.com.cn ): 我也不知道這裡什麼鬼規則,直接發京東卡的。
16 . 魅族安全響應中心 ( http://sec.meizu.com/ ): 一幣=10rmb,meizu pro5才280個幣。
17. 安全狗(http://security.safedog.cn ):公告形式排名,運營比較溫柔~
18. 迅雷( http://safe.xunlei.com ):不了解…
19. 歡聚時代安全應急響應中心( http://security.yy.com ) :獎勵略少…
20. 平安集團安全應急響應中心( http://security.pingan.com ):直接以錢作為獎勵方式,一個getshell大概4000塊,積分比較狠。幾十萬來的。
21. 唯品會安全應急響應中心( http://sec.vip.com/ ):也算個良心src了,不過有個缺點就是,只以唯品卡為獎勵方式,沒滿10的暫存。還挺不錯。畢竟新生src。
22. 蘇寧安全應急響應中心( http://security.suning.com/ssrc-web/index.jsp ): 有個審核有點帥……………一個幣=5rmb,商城目前未上線,不過快了。
23. 滴滴打車安全應急響應中心(http://sec.didichuxing.com/ ): 剛上線…排行榜都木有
更多實驗操作和視頻學習,可關注微信公眾號「合天智匯」
找個賣書的網站,例如噹噹之類的,把安全分類下的知名一點的書全買了
信息安全職業生涯CSO的生存藝術還有些論壇也是很好的交流地方
信息安全也分很多領域,不同領域都有自己的根據地,如果你想搞漏洞挖掘、滲透等高深的領域得先保證你是一個很牛的程序員,這方面我也不熟。如果你想去安全公司或甲方做一些安全諮詢、技術支持方面的工作可以去http://cisps.org看看。推薦看看這個帖子 http://bbs.chinaunix.net/viewthread.php?tid=711737
你真正把網路安全細細的剖析看,他是一個很龐大的東西,幾乎快覆蓋了計算機的各個面。
學習操作系統 編程語言 底層 逆向 社工 密碼學 資料庫 網路通訊協議 硬體攻擊
真正起到可以攻擊別人的是自己的基礎達到一定階段具備挖掘漏洞的時候 稱其為0day,利用這些別人未發現的漏洞或者沒有修補的安全隱患去攻擊,或者是挖掘漏洞自己去填補一些漏洞,真正的高手是手裡掌握這些漏洞的人。這是一個很辛苦的過程,並不推薦你去一些論壇看一些視頻或者一些簡短的文章,很多論壇傳授的一些教程只是簡單的工具使用方法,當你不明白其原理的時候你只是一個會使用攻擊工具的人,建議你從基礎學起,從某個編程語言學起,這樣說起來可能覺得很沒有頭緒,其實你可以借用某個黑客工具,當然不是只是使用他,是去讀他的源碼了解清楚是用什麼語言編寫的,然後自己學習這門語言在去研究這個程序的原理,這樣的話就成了一個入門的好辦法,在你逐漸了解一個個工具的過程中你就逐漸的學習了某一門語言,和相關的網路編程網路基礎方面,逐漸你就上道了,不要受到國內的一些人對黑客的理解,這並不是一個骯髒小偷破壞者的職業,但也不是一個偉大神秘神一樣的工作,他們很普通,甚至有些都是在某家公司混口飯吃的程序員,全憑興趣的人大有人在。對於這個行業不要多涉足金錢,他會把你誤入歧途,就記得很艱苦就對了,要不斷的啃書不斷的學習充電。我覺得你的情況不太適合學習這個,或許是外界對這個行業的理解讓你覺得非常偉大才會使你有種投身於不顧的熱情,我其實比較推薦你從技術做起努力學個2年左右的進一家普通公司寫寫代碼解決生存,網路安全消耗的時間和精力太大。個人愚見,噴我吧,不介意呵呵。推薦一下SEED系列信息安全項目,美國雪城大學杜文亮教授帶領的SEED項目組開發的,質量非常不錯,涵蓋的技術領域也比較全面,項目地址:SEED Project 目前已推出的模塊有軟體安全、網路安全、Web安全、系統安全、密碼學。
實驗樓在SEED項目組的支持下,翻譯製作了SEED在線實驗課,通過在線環境實踐練習安全技術。已經上線了15個,網路安全和系統安全實驗還在製作中。該系列實驗課免費並開源。
一、軟體安全模塊
1.信息安全 - 緩衝區溢出漏洞實驗
通過往程序的緩衝區寫超出其長度的內容,造成緩衝區的溢出,從而破壞程序的堆棧,造成程序崩潰或使程序轉而執行其它指令,以達到攻擊的目的。
2.信息安全 - Return-to-libc攻擊實驗Return-to-libc攻擊是一種特殊的緩衝區溢出攻擊,通常用於攻擊有「棧不可執行」保護措施的目標系統。本實驗中我們將用system()地址替換返回地址,用它調用一個root shell。
3.信息安全 - SET-UID程序漏洞實驗
Set-UID 是一個重要的安全機制,當一個Set-UID程序運行的時候,它被假設為具有擁有者的許可權。
4.信息安全 - 競態條件漏洞實驗
在本實驗中學生將利用競態條件漏洞獲得root許可權。除了攻擊之外,學生還將學習如何制定保護方案抵禦該類攻擊。
5.信息安全 - 格式化字元串漏洞實驗
本實驗將會提供一個具有格式化漏洞的程序,我們將制定一個計劃來探索這些漏洞以達到任意讀寫內存的目的。
6.信息安全 - ShellShock 攻擊實驗
對Shellshock漏洞進行攻擊。該漏洞可以遠程也可以在本地觸發。在本實驗中,學生需要親手重現攻擊來理解該漏洞。
二、Web安全模塊
7.信息安全 - Elgg系統跨站腳本攻擊實驗
跨站腳本是一種典型的出現在web應用程序中的計算機安全漏洞。這種漏洞使攻擊者注入惡意代碼到受害者的web瀏覽器成為可能。本實驗中,我們將對一個有漏洞的Web系統進行跨站腳本攻擊。
8.信息安全 - Collabtive系統跨站腳本攻擊實驗
跨站點腳本(XSS)是一種常見較弱的web應用程序漏洞,攻擊者使用這個漏洞注入惡意代碼(例如JavaScript)來攻擊受害者的web瀏覽器。
9.信息安全 - Collabtive系統跨站腳本攻擊實驗
對一個有漏洞的Web系統進行跨站腳本攻擊。
10.信息安全 - Collabtive系統跨站請求偽造攻擊實驗
跨站請求偽造(CSRF或XSRF)攻擊可用於盜取身份,造成盜號、虛擬貨幣轉讓、購買商品等跟人隱私及財產安全的威脅。
11.信息安全 - Collabtive系統SQL注入實驗
對一個有漏洞的Web系統進行SQL注入攻擊。
12. 信息安全 - Collabtive系統瀏覽器同源策略探索實驗
現有的web瀏覽器的安全模型是基於同源策略,提供一些基於Web應用程序的保護功能。本實驗幫助理解同源策略。
三、密碼學模塊
13.信息安全 - 密鑰加解密實驗
本實驗的學習目的是讓學生熟悉加密的基本概念,熟悉和了解加密演算法、加密模式、
填充、以及初始向量的定義與作用。
本實驗的學習目的是讓學生熟悉單向哈希函數(比如md5,sha256)以及消息認證碼(MAC)
15.信息安全 - 公鑰加密與PKI實驗
本課實驗包含公鑰加密,數字簽名,公鑰認證,認證授權,基於PKI授權等內容。
起步階段,學習計算機基礎知識,計算機基本組成,操作系統原理,網路,TCP/IP, 等以上基礎知識都學會了,開始學習編程語言,C, bash,php,python等,再學習入侵原理,如SQL注入,XSS,CSRF等推薦論壇:看雪論壇,暗組安全, 當然最強大的地方還是google
自學計算機的話,推薦MOOC課程。你可能聽說過以前的公開課,就是把大學的課程錄像放到網上,但MOOC相當於公開課的升級版。MOOC課程需要註冊網站後上課,課程開始後可以看到視頻,然後你還要完成相應的考試和測試。
MOOC是互聯網技術成熟出現的產物。因為計算機行業和互聯網關係最大,而且自動批改編程作業也很方便,所以出現了很多優秀的計算機課程。當然其他學科的也有,而且越來越多。如果你還是不明白,請看這篇文章:【新手指南】一:MOOC是什麼?系統、深入學習的話,首推Coursera的網路安全專項課程。MOOC剛出現的時候確實系統性比較欠缺,現在課程提供方也在努力解決這個問題。Coursera推出了十多門專項課程,每個專項課程裡面有3到10門課,讓大家能夠系統地學習一個學科。其中一個專項課程就是網路安全,包含4門課程和1個結業項目,是馬里蘭大學帕克分校做的。第一門課程今年9月開始。
附送網址:Coursera.org(多謝 @張凱旭 提醒補充~)如果你不想等到9月,可以現在開始學點別的。不知道你學到哪個程度,建議根據課程介紹和其他人的評價選擇適合自己的課程。
推薦幾門評價比較高的:密碼學(一) Cryptography I Coursera (斯坦福大學的,4月1日開課,評價相當高~)編程入門 Intro to Programming Udacity計算機科學導論 Introduction to Computer Science UdacityPython互動式編程導論 An Introduction to Interactive Programming in Python Coursera以上資源都是英文的,前兩個要翻牆,但我相信要學計算機的人都該具備飛牆技能~
如果你計算機學得還可以,但英語不夠好,推薦清華大學的課程:組合數學 學堂在線數據結構(下) 學堂在線高手進階課程分類太細,不一一列舉了,請查看近期的計算機相關課程表,隨意挑選:【程序猿出沒注意】4月精品計算機課程合集再上一個新手指南:【新手必讀】二:MOOC操作指南烏雲,土司,bt5論壇,90sec
自己在github上維護了一份RSS訂閱,主要內容有國內外安全圈一些大牛們的技術博客,一些國內外的安全資訊網站,也會有相關的技術科普或者最新報道,值得長期關注.
餘弦大大之前發布過一份RSS訂閱列表,我在使用以後發現很多的源都已經停止維護或者更換地址了,我對一部分更換地址的站點進行了更新,還有很多已經停止更新了或者我沒有找到,但是即使是很久之前的文章還是有很高的學習價值,值得大家去翻一下.但是為了節省資源或者是方便自己翻看,我還是把那部分沒有列入這份列表中,想要去看看的可以去 @餘弦的回答下找一找.
github地址:Han0nly/SecurityRSS
以下是詳細列表:
======
安全組織
1. DEFCON (DEFCON官方網站)
網站 : [DEFCON](DEF CON? Hacking Conference)
Rss地址 : http://www.defcon.org/defconrss.xml
2. Google Security(谷歌安全團隊)
網站 : [Google Security](https://security.googleblog.com/)
Rss地址 : http://googleonlinesecurity.blogspot.com/atom.xml
3. http://FreeBuf.COM (黑客與極客,安全技術與安全新聞平台)
網站 : [http://FreeBuf.COM](FreeBuf.COM | 關注黑客與極客)
Rss地址 : http://www.freebuf.com/feed
4. Whitepaper Files ≈ Packet Storm(老牌安全網站安全網站Packet Strom)
網站 : [Whitepaper Files ≈ Packet Storm](Packet Storm)
Rss地址 : Whitepaper Files ≈ Packet Storm
5. SecWiki News(國內外安全資訊)
網站 : [SecWiki News](SecWiki-安全維基,彙集國內外優秀安全資訊、工具和網站)
Rss地址 : SecWiki News
6. Threatpost - English - Global - http://threatpost.com (安全資訊第一站)
網站 : [Threatpost - English - Global - http://threatpost.com](Threatpost | The first stop for security news)
Rss地址 : The first stop for security news
7. Securitywatch(安全觀察)
網站 : [securitywatch](BH Consultings Security Watch Blog)
Rss地址 : SecurityWatch
8. Speaking of Security - The RSA Blog and Podcast
網站 : [RSA Blog](Home - Speaking of Security - The RSA Blog)
Rss地址 : Speaking of Security - The RSA Blog
9. 清華大學網路與信息安全實驗室
網站 : [Network and Information Security Lab](Network and Information Security Lab @ Tsinghua University)
Rss地址 : Network and Information Security Lab @ Tsinghua University
10. CIO
網站 : [cio-security](Security news, analysis, how-to, opinion and video.)
Rss地址 : http://www.cio.com/category/security/index.rss
11. Security Cisco Blog(思科安全博客)
網站 : [Cisco](Cisco Security Blog)
Rss地址 : https://feeds.feedburner.com/CiscoBlogSecurity
12. Microsoft Secure Blog(微軟安全博客)
網站 : [Microsoft Secure Blog](Microsoft Secure Blog)
Rss地址 : Microsoft Secure Blog
13. Exploit-DB
網站 : [Exploit-DB](Exploits Database by Offensive Security)
Rss地址 : https://www.exploit-db.com/rss.xml
14. Securitywatch
網站 : [securitywatch](BH Consultings Security Watch Blog)
Rss地址 : SecurityWatch
15. AnD Labs
網站 : [AnD Labs](http://blog.andlabs.org/)
Rss地址 : Attack and Defense Labs
16. Trend Micro Simply Security(安全情報)
網站 : [Trend Micro Simply Security](Simply Security News, Views and Opinions from Trend Micro, Inc)
Rss地址 : http://blog.trendmicro.com/feed
17. Lockheed Martin Cybersecurity Blog
網站 : [Lockheed Martin Cybersecurity Blog](http://cyber.lockheedmartin.com/)
Rss地址 : http://cyber.lockheedmartin.com/blog/rss.xml
18. Cyber Security Buzz
網站 : [Cyber Security Buzz](Home - Cyber Security Buzz)
Rss地址 : Cyber Security Buzz
19. WeLiveSecurity
網站 : [WeLiveSecurity](WeLiveSecurity)
Rss地址 : http://feeds.feedburner.com/eset/blog
20. Lohrmann on Cybersecurity | Government Technology
網站 : [Lohrmann on Cybersecurity](Government Technology)
Rss地址 : http://feeds.feedburner.com/govtech/blogs/lohrmann_on_infrastructure
21. Krebs on Security
網站 : [Krebs on Security](Krebs on Security)
Rss地址 : http://krebsonsecurity.com/feed
22. The Last Watchdog
網站 : [The Last Watchdog](The Last Watchdog)
Rss地址 : http://lastwatchdog.com/feed/
23. Marco Ramillis Blog
網站 : [Network and Information Security Lab](http://marcoramilli.blogspot.com/)
Rss地址 : http://marcoramilli.blogspot.com/feeds/posts/default
24. Privacy Ref Blog
網站 : [Privacy Ref Blog](PRIVACY REF provides privacy consulting services that allow you to create, refine, or supplement your practices to customer, employee, and corporate data.)
Rss地址 : Privacy Ref Blog
25. Cyber security updates
網站 : [Cyber security update](Cyber security updates)
Rss地址 : http://pwc.blogs.com/cyber_security_updates/rss.xml
26. Security Affairs
網站 : [Security Affairs](Security Affairs - Read, think, share … Security is everyones responsibility)
Rss地址 : Security Affairs
Hackers
1. EVILCOS(餘弦的博客)
網站 : [EVILCOS](http://evilcos.me/)
Rss地址 : http://evilcos.me/?feed=rss2
2. horicky
網站 : [horicky](http://horicky.blogspot.jp/)
Rss地址 : http://horicky.blogspot.com/feeds/posts/default
3. 離別歌 (Phithon的博客)
網站 : [離別歌](離別歌 - 代碼審計|漏洞挖掘|python|c++)
Rss地址 : https://www.leavesongs.com/rss.php
4. virusests blog
網站 : [virusests blog](http://www.virusest.com/)
Rss地址 : http://www.virusest.com/rss.xml
5. 獨自等待-信息安全博客
網站 : [獨自等待-信息安全博客](https://www.waitalone.cn/)
Rss地址 : https://www.waitalone.cn/feed#from:www.waitalone.cn
6. http://tralfamadore.com
網站 : [http://tralfamadore.com](tralfamadore.com)
Rss地址 : http://www.tralfamadore.com/atom.xml
7. Didier Stevens
網站 : [Didier Stevens](Didier Stevens)
Rss地址 : Didier Stevens
8. http://GUYA.NET
網站 : [http://GUYA.NET](GUYA.NET)
Rss地址 : http://blog.guya.net/feed
9. koto -XSSChEF
網站 : [koto -XSSChEF](http://blog.kotowicz.net/)
Rss地址 : http://blog.kotowicz.net/feeds/posts/default
10. Street Hacker(已停止更新)
網站 : [Street Hacker](Czy_Invicta_新浪博客)
Rss地址 : http://blog.sina.com.cn/rss/streethacker.xml
11. DBA Notes
網站 : [DBA Notes](http://dbanotes.net/)
Rss地址 : http://feeds.feedburner.com/webarch
12. http://SecureThoughts.com
網站 : [http://SecureThoughts.com](Home - Secure Thoughts)
Rss地址 : http://feeds2.feedburner.com/securethoughts
13. Sword Soul
網站 : [Sword Soul](Sword Soul)
Rss地址 : Sword Soul
14. radi::blog
網站 : [radi::blog](http://radi.r-n-d.org/)
Rss地址 : http://radi.r-n-d.org/feeds/posts/default
15. Manicode(已停止維護)
網站 : [Manicode](http://manicode.blogspot.jp/)
Rss地址 : http://manicode.blogspot.com/feeds/posts/default
16. riusksks blog(泉哥的技術博客)
網站 : [riusksks blog](riusksks blog)
舊址 : riusksks blog - 博客大巴
Rss地址 : http://riusksk.me/atom.xml
17. Chus BLoG
網站 : [Chus BLoG](Chus BLoG)
Rss地址 : http://sh3ll.me/atom.xml
18. Chris Shiflett
網站 : [Chris Shiflett](Chris Shiflett)
Rss地址 : Chris Shiflett
19. sirdarckcat
網站 : [sirdarckcat](http://sirdarckcat.blogspot.jp/)
Rss地址 : http://sirdarckcat.blogspot.com/feeds/posts/default20. Soroush
網站 : [Soroush](Soroush Dalilis blog - - @irsdl)
Rss地址 : Computer Security Is My Interest!
21. Tactical WAS(已停止維護)
網站 : [Tactical WAS](http://tacticalwebappsec.blogspot.com/)
Rss地址 : http://tacticalwebappsec.blogspot.com/feeds/posts/default
22. http://thomascannon.net Blog
網站 : [http://thomascannon.net Blog](Blog Archive · thomascannon.net)
Rss地址 : http://thomascannon.net/blog/rss.xml
23. oldjun(t00ls核心成員,好久沒更新了)
網站 : [oldjun](oldjun』s blog - Looking for change)
Rss地址 : http://www.oldjun.com/blog/index.php/rss/
24. The Spanner
網站 : [The Spanner](The Spanner)
Rss地址 : The Spanner
25. http://tralfamadore.com(已停止維護)
網站 : [http://tralfamadore.com](tralfamadore.com)
Rss地址 : http://www.tralfamadore.com/atom.xml
26. 道哥的黑板報(知乎專欄)
網站 : [道哥的黑板報](知乎專欄)
Rss地址 : 道哥的黑板報 - 知乎專欄
27. 空虛浪子心的靈魂(主攻WEB安全)
網站 : [空虛浪子心的靈魂](http://www.inbreak.net/)
Rss地址 : http://www.inbreak.net/feed
28. 阿里中間件團隊博客
網站 : [阿里中間件團隊博客](阿里中間件團隊博客)
Rss地址 : http://jm.taobao.org/atom.xml
29. 曉風聽雨軒
網站 : [曉風聽雨軒](曉風聽雨軒 - Powered by Sablog-X)
Rss地址 : http://suddymail.org/rss.php
30. 醉卧煙雨
網站 : [醉卧煙雨](醉卧煙雨s Blog" 博客·文字)
Rss地址 : 醉卧煙雨s Blog
31. Lcy
網站 : [Lcy](Lcys Blog - 網路安全博客,記錄個人學習,生活博客)
Rss地址 : Lcys Blog
32. 安全滲透軍火庫
網站 : [安全滲透軍火庫](安全滲透軍火庫|SHENTOU.ORG | 最全滲透工具,安全工程師網盤,注入殺器)
Rss地址 : 安全滲透軍火庫|SHENTOU.ORG
33. 阿德馬Web安全
網站 : [阿德馬Web安全](阿德馬Web安全 | 關注Web安全、系統加固、滲透測試,低調求發展!)
Rss地址 : http://www.nxadmin.com/feed
34. Leesecs Blog
網站 : [Leesecs Blog](Leesecs Blog | 喜歡旅行、街舞、極限運動.)
Rss地址 : Leesecs Blog
35. 焠安
網站 : [焠安](焠安)
Rss地址 : 焠安
36. JoyChous Blog
網站 : [JoyChous Blog](JoyChous Blog)
Rss地址 : JoyChous Blog
37. PHP和Java的故事
網站 : [PHP和Java的故事](PHP Java | PHP和Java的故事 | JavaWeb PHP Web安全)
Rss地址 : PHP Java
38. 番茄師傅
網站 : [番茄師傅](番茄師傅)
Rss地址 : 番茄師傅
39. Sudos BLoG
網站 : [Sudos BLoG](SudoHacs BLoG.為了夢想 Fighting !)
Rss地址 : http://feed.feedsky.com/sudohac
開發
1. WHATWG
網站 : [WHATWG](https://blog.whatwg.org/)
Rss地址 : http://blog.whatwg.org/feed/
2. CoolShell酷殼
網站 : [CoolShell](酷 殼 - CoolShell.cn)
Rss地址 : http://coolshell.cn/feed/
其他
1. CTFtime(CTF賽棍必備)
網站 : [CTFtime](All about CTF (Capture The Flag))
Rss地址 : upcoming CTF events
OPML
最終整理的OPML鏈接為:
[https://raw.githubusercontent.com/Han0nly/SecurityRSS/master/SecureRss.opml](https://raw.githubusercontent.com/Han0nly/SecurityRSS/master/SecureRss.opml)使用方法1(推薦) - inoreader
在設置的OPML訂閱源中填入本repo的OPML RAW文件地址:
https://raw.githubusercontent.com/Han0nly/SecurityRSS/master/SecureRss.opmlinoreader能同步本OPML的更新,以後擴展的訂閱源都會被inoreader自動同步,推薦使用
使用方法2 - Feedly
下載https://raw.githubusercontent.com/Han0nly/SecurityRSS/master/SecureRss.opml後保存為OPML.xml,在Feedly源管理頁面導入。
由於本repo可能會頻繁更新訂閱源(或者修訂RSS輸出的樣式),如果需要更新的話,請重新下載後再導入Feedly。
使用方法3 - 深藍閱讀
同使用方法2。
感謝以上提到的博主積極的知識輸出
本repo也會不斷更新,歡迎推薦更多的優質學習閱讀資源
希望大家多多推薦,支持RSS是一種美德。信息安全可以分為兩派:學術型,實幹型。學術型可以關注安全領域的一些頂會,如CCS、IEEE SP、NDSS等,每年都會有最前沿的學術論文出現。想進行信息安全或者密碼方面的研究,一些基礎知識是少不了的,Bristol大學的密碼安全工作組為密碼學和信息安全相關的博士準備了52個基本知識點,具體可以參考「信息安全與密碼學博士:應該掌握的52個知識點」。實幹型當然主要是動手搞安全技術了,漏洞、攻擊與防範、逆向、加密解密等技術,各種黑客技術和安全競賽,想學習這方面的技術,可以跟蹤一些團隊,博文「國內知名安全研究團隊與站點整理」整理了國內的一些知名安全技術團隊和網站,如KeenTeam,烏雲,安全焦點,綠盟科技,知道創宇,Freebuf,看雪,紅客,TOOLS,IDF實驗室,91RI,安全脈搏,SecWiki,NaviSec,愛尖刀,secmobi等,可供參考。
http://www.freebuf.com 聚合地球上的安全資訊,可以去看看。