前言
親愛的安全客小夥伴們,新型冠狀病毒肺炎疫情期間大家近況可好~
2020年春節期間,想必大家跟小編我一樣,經歷了1月初的全國口罩瘋狂搶購賽、1月23日武漢封城、回家之後不走親不聚會、每天跟家人普及安全知識、時刻關注疫情動態,同時靠看劇麻將王者打發時間,直到現在進入了遠程辦公階段。
這時候小編就想問了,大家的遠程辦公狀態如何?
我知道肯定有很多小夥伴跟我一樣在家經受不住手機零食躺屍的鹹魚誘惑,但內心的理智告訴我們,這是不對的!!!
所以小編給大家整理了一篇網絡安全人員學習入門合集。
本文從網絡安全人員學習成長角度出發,總結了包含網絡安全工具總結、概念普及、漏洞學習、滲透測試、黑灰產等全方位知識方向,內容包括實戰演練、技能提升、行業動態、學術論文、學習渠道等各類精華文章,同時我們把總結範圍瞄準了全網的優質內容,希望能在春節遠程辦公期間對大家有所幫助。
疫情仍未消散,我們也更應奮起向前,以頑強拼搏之態,做精神世界的奮鬥者。答應我,不要僅僅只是單純的點讚和收藏哦~如果對以下總結有更多補充,歡迎留言哦。
知名安全工具
工欲善其事必先利其器,現在,安全研究者對網站或者應用程式進行滲透測試而不用任何自動化工具似乎已經越來越難。因此選擇一個正確的工具則變得尤為重要,正確的選擇甚至可以占到滲透測試成功的半壁江山。
十大黑客常用滲透測試工具
安全新時代你不得不知道的一些概念
威脅情報
現今隨著信息的發展,越來越需要擁有網絡威脅情報的能力,並且要有足夠的情報分享能力,針對情報進行制定相應安全策略。
威脅情報專欄:威脅情報標準——結構化威脅信息表達式(STIX)
ATT&CK
Google趨勢顯示,一個帶著奇怪的「&」符號的詞語——ATT&CK非常受歡迎。但是,MITRE ATT&CK™的內涵是什麼呢?為什麼網絡安全專家應該關注ATT&CK呢?
一文看懂ATT&CK框架以及使用場景實例
SOAR
SOC(安全運營中心)的概念和應用已經過有了很多年但業內人熟知,SOC在中國的應用非常不成功,被人詬病。直到威脅情報、大數據、機器學習技術的引進,藉助態勢感知的大潮,新一代SOC,或稱iSOC(智能SOC)開始興起。
APT防護十年:終於有人把SOAR這件事講清楚了
Web安全漏洞學習
漏洞分析
該博客深入淺出的講解了包含PHP漏洞、Python漏洞、XXE漏洞、SSTI漏洞等在內的各類漏洞分析。乾貨滿滿,不容錯過~
K0rz3n’s Blog
sql注入
該篇包含了MySQL 基礎知識、MySQL 報錯注入、寬字節注入等等系列知識以及CTF題目案例分析,值得學習哦~
史上最水的MYSQL注入總結
xss總結
XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶加載並執行攻擊者惡意製造的網頁程序。
xss總結
二進位
二進位——漏洞攻防中的不可說與不可不說
認識二進位安全與漏洞攻防技術 (Windows平台)
安全與機器學習、AI
在這一篇文章里,主要介紹Attack AI,即黑客對AI發起的攻擊。
AI與安全:AI與安全「2」:Attack AI(1)總述
安全與數據分析
安全數據分析平台主要由大數據框架、安全數據和安全算法組成,如果把安全大數據分析平台比作是一個人的話,那麼大數據框架是骨架,安全數據是血液,安全算法是血管,缺一不可。
安全與數據:企業安全建設之探索安全數據分析平台
黑灰產
網絡空間中不可不談黑灰產,2017年,縱觀全球網絡安全事件,從黑客組織Shadow Brokers泄露NSA的漏洞利用工具EternalBlue,到WannaCry勒索軟體席捲全球,從國內58同城簡歷數據泄露,到國外信用機構Equifax被黑客入侵,黑灰產業蓬勃發展。
威脅獵人:2017年度中國網際網路黑產報告
暗網
暗網之下是冷冰冰的技術,暗網在中文的語境裡,這是一個猶如「月黑風高夜」般的詞彙,透著詭秘和犯罪的氣息。而與「暗網」關係最密切的另一個詞,則非「黑客」莫屬。「黑」與「暗」的組合,意味著高超的匿名和隱身技巧,令人忍不住想揭開它精巧的面紗。
密碼朋克的社會實驗(一):開燈看暗網
滲透測試
滲透測試從入門到入土,方向太多、涵蓋甚廣、小編列出了主要的幾個知識類型,有的是純粹的技能演示小編就不做過多介紹直接看演示思路即可。相信如果把以下概念以及實操了熟於心之後,你一定會成為一個平平無奇的滲透測試小天才。
流程規範
眾所周知,Web應用的滲透測試可分3個階段:信息搜集、漏洞發現、漏洞利用,但是在給甲方做滲透時就需細化流程。
滲透測試工程師視角下的滲透測試流程
信息收集
信息收集是指通過各種方式獲取所需的信息。信息收集是信息得以利用的第一步,也是關鍵的一步。
攻防視角下的信息收集
漏洞掃描
xray (https://github.com/chaitin/xray) 是從長亭洞鑒核心引擎中提取出的社區版漏洞掃描神器,支持主動、被動多種掃描方式,自備盲打平台、可以靈活定義 POC,功能豐富,調用簡單,支持 Windows / macOS / Linux 多種作業系統,可以滿足廣大安全從業者的自動化 Web 漏洞探測需求。
長亭xray:一款自動化Web漏洞掃描神器(免費社區版)
防護繞過
利用分塊傳輸吊打所有WAF
網絡工具
本系列文章重寫了java、.net、php三個版本的一句話木馬,可以解析並執行客戶端傳遞過來的加密二進位流,並實現了相應的客戶端工具。從而一勞永逸的繞過WAF或者其他網絡防火牆的檢測。
利用動態二進位加密實現新型一句話木馬之客戶端篇
提權維持
Windows提權筆記
內網滲透
我所了解的內網滲透——內網滲透知識大總結
實戰演練
從外網到域控(vulnstack靶機實戰)
安全行業的一些證書與考試
OSCP
滲透測試不是一門知識,而是一項技能。如果把滲透測試比喻成游泳,那麼學校教我的就是浮力的原理,運動的生理學原理,我在課後還自學了要用什麼動作劃臂,什麼動作踩水。當我畢業時,依舊不會游泳,這是因為學校沒有游泳池,我從沒下過水。在野外游泳,不僅危險而且違法,而OSCP則給了我們游泳池。
我是如何拿到OSCP認證的?
CISSP
CISSP 英文全稱:「 Certified Information Systems Security Professional」,中文全稱:「(ISC)²註冊信息系統安全專家」,由(ISC)²組織和管理,是目前全球範圍內最權威,最專業,最系統的信息安全認證。
為什麼考CISSP?用我們領導的話說,可以迅速建立起個人對安全體系的知識框架,認證+讀行業標準是最有效的方法。
CISSP考試一次通過指南
安全學術圈公號總結
安全行業發展離不開學術土壤與根基
安全學術圈2019年度總結
2020已經來臨,甚至正在不知不覺中流逝、我們剛經歷了大年三十,立春,後天即將迎來元宵、下周又迎來情人節。昨天有人跟我在討論疫情的時候說:「這個2020是廢了」,而我並不認同,無論環境多惡劣,都不是我們不好好生活的藉口。
這兩天無論是為一線的物資緊缺揪心還是被沙雕網友的春節娛樂逗樂抑或是對這段時間爆出的新聞憤憤不平,作為網絡安全人員亦或是普普通通的安全客用戶,我們更應該做的是平心靜氣、不忘努力,不因放假而放棄約束,不因在家而荒廢學習。用學習為口嗨付諸行動,為生活注入靈魂。讓我們一起加油!
原文連結:https://www.anquanke.com/post/id/198141