这里是网络安全/信息安全 学习资料汇总贴,涉及法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等细分内容。
1. 法律法规政策
知道在什么框架下行事
- 《中华人民共和国刑法》
- 《中华人民共和国网络安全法》
- 《网络安全等级保护制度2.0》
2. 国家政府机构
知道谁在管事
- 中央网络信息安全领导小组:http://www.cac.gov.cn/
- 国家互联网应急中心:http://www.cert.org.cn/
- 中国国家信息安全漏洞库:http://www.cnnvd.org.cn/
- 国家信息安全漏洞共享中心:http://www.cnvd.org.cn/
- 中国信息安全测评中心:http://www.itsec.gov.cn/
- 中国信息安全等级保护网:http://www.djbh.net/
- 中国反网络病毒联盟:https://www.anva.org.cn/
- 中国互联网络信息中心:http://www.cnnic.net.cn/
3. 安全企业站点
知道安全圈的主要玩家都有谁
国外安全公司:
- Fireeye:https://www.fireeye.com/
- Checkpoint:https://www.checkpoint.com/
- Fortinet(飞塔):http://www.fortinet.com.cn/
- Palo Alto:https://www.paloaltonetworks.cn/
- 思科(安全):http://www.cisco.com/c/zh_cn/products/security/index.html
- Juniper(瞻博网络):http://www.juniper.net/cn/zh/
国内安全公司:
- 绿盟科技:https://www.nsfocus.com/
- 启明星辰:https://www.venustech.com.cn/
- 深信服:http://www.sangfor.com.cn/
- 奇虎360:https://360.cn/
- 奇安信:https://www.qianxin.com/
- 天融信:https://www.topsec.com.cn/
- 山石网科:https://www.hillstonenet.com.cn/
- 知道创宇:https://www.yunaq.com/
- 安恒信息:https://www.dbappsecurity.com.cn/
- 火绒安全:https://www.huorong.cn/
- 蓝盾科技:http://www.bluedon.com/
- 科来:http://www.colasoft.com.cn/
4. 安全媒体
- 安全客:https://www.anquanke.com/
- FreeBuf:https://www.freebuf.com/
- E安全:https://www.easyaq.com/
5. 安全工具
- sectool:http://sectools.org/
- kali:https://www.kali.org/
- nmap:https://nmap.org/
- wireshark:https://www.wireshark.org/
- metaspolit:https://www.metasploit.com/
- nessus:http://www.tenable.com/
- openvas:http://www.openvas.org/
- sqlmap:http://sqlmap.org/
- w3af:http://w3af.org/
- burpsuite:https://portswigger.net/burp/
- awvs:https://www.acunetix.com/
- appscan:https://www.ibm.com/developerworks/cn/downloads/r/appscan/
- shodan:https://www.shodan.io/
- cobaltstrike:https://www.cobaltstrike.com/
- masscan:https://github.com/robertdavidgraham/masscan
- hydra:https://www.thc.org/thc-hydra/
- John the Ripper:http://www.openwall.com/john
- modsecurity:http://www.modsecurity.org/
6. 安全标准/框架
- OWASP TOP10
- PTES渗透测试标准
- ISO 27001
- 信息安全等级保护
7. 书籍教材
网络安全推荐书单:
- 《CCNA学习指南》
- 《TCP/IP详解卷一》
- 《局域网交换机安全》
- 《Cisco防火墙》
- 《网络安全原理与实践》
- 《网络安全技术与解决方案》
- 《华为防火墙技术漫谈》
- 《Cisco网络黑客大曝光》
- 《Wireshark网络分析实战》
- 《Wireshark数据包分析实战》
- 《DDoS攻击与防范深度剖析》
- 《Cisco VPN完全配置指南》
- 《Cisco安全入侵检测系统》
Web安全/渗透测试推荐书单:
- 《白帽子讲Web安全》
- 《Web安全深度剖析》
- 《Metaspolit渗透测试魔鬼训练营》
- 《Web前端安全揭秘》
- 《Web渗透测试使用Kali Linux》
- 《黑客攻防技术宝典Web实战篇》
- 《BurpSuite实战指南》
- 《SQL注入攻击与防御》
- 《XSS跨站脚本攻击剖析与防御》
- 《互联网企业安全高级指南》
云计算安全推荐书单:
- 《云安全原理与实践》
- 《云安全深度剖析》
- 《软件定义安全》
- 《软件定义数据中心》
- 《云数据中心构建实战》
- 《腾云:云计算和大数据时代网络技术揭秘》
- 《大数据时代下的云安全》
- 《云安全基础设施构建》
8. 视频教程(by 陈鑫杰老师)
安全入门:
- 信息安全发展趋势与职业规划
- 零基础如何入门网络安全-Web安全-渗透测试?
- Web安全工程师-渗透测试-白帽子黑客学习路线图
- Web安全-网络安全-渗透测试学习指南(技能-方法-书单-资源)
- Web安全攻防-渗透测试实验室搭建(含虚拟机-工具-漏洞)
训练营:
- 5天速成白帽子黑客
- 5天Python实战营
- 1周入门Linux云计算
实战案例:
- 大型考研诈骗犯罪溯源 - 陈鑫杰老师携手深圳网警破获诈骗团伙
- 非法卡盟网站犯罪溯源 - 互联网黑灰产案例讲解
- 快递理赔诈骗犯罪溯源,剁手党们都小心了! - 互联网黑灰产案例讲解
技能实战:
- Shodan撒旦黑暗搜索引擎实战指南 - 社会工程学必备技能
- Google 谷歌高级搜索技巧实战指南 - 社会工程学必备技能
- Nmap 最强悍的端口扫描器 - 白帽子黑客神兵利器系列
- SQLmap 最强悍的注入神器 - 白帽子黑客神兵利器系列
- BeEF 最强悍的浏览器渗透框架 - 白帽子黑客神兵利器系列
- BurpSuite 渗透测试实战 - 白帽子黑客神兵利器系列
- AppScan 渗透测试实战 - 白帽子黑客神兵利器系列
- OWASP ZAP 渗透测试实战 - 白帽子黑客神兵利器系列
- 10 种常见漏洞扫描与渗透测试工具 - 白帽子黑客神兵利器系列
- Wireshark 最受欢迎的抓包软件 - 入门简介 - 白帽子黑客神兵利器系列
- Kali Linux 渗透测试入门导论 - 白帽子黑客神兵利器系列
- "永恒之蓝"漏洞实现Windows提权 - 漏洞复现实践
- 如何揪出内鬼并优雅地还手?防范账号窃取-断网攻击-网络限速
- CTF黑客夺旗赛 - 网络安全大赛 - 入门简介
- WiFi无线安全攻防-无线黑客揭秘幽灵魅影下的十面埋伏
9. 技术博文(by 陈鑫杰老师)
网络安全 / 渗透测试系列:
- 冇眼睇]揭秘地下色情诱导网站,上车吧!(100w阅读11k赞500评论)
- 网络安全求职指南(入坑指南)
- 网络安全入坑指南(授课版)
- 我所看到的安全行业趋势
漏洞复现系列:
- 漏洞复现] CVE-2017-7494 隐藏7年之久的Linux版"永恒之蓝"出现了
- 漏洞复现] CVE-2010-2883 Adobe Reader 打开pdf即刻中招
- 漏洞复现] CVE-2018-4878 Flash 0day
- 漏洞复现] MS17-010 基于"永恒之蓝"实现Windows Getshell操作
- 漏洞复现] CVE-2017-11882 通杀所有office版本
- 漏洞复现] CVE-2017-16995 Ubuntu16.04漏洞复现
图解系列:
- 图解SDN:软件定义网络导论篇(超1.1k赞)
- 图解SDN:软件定义网络原理篇
- 图解ARP协议(一)ARP原理篇
- 图解ARP协议(二)ARP攻击篇
- 图解ARP协议(三)ARP防御篇-如何揪出"内鬼"并"优雅的还手"?
- 图解ARP协议(四)代理ARP:善意的欺骗
- 图解ARP协议(五)免费ARP:地址冲突了肿么办?
- 图解ARP协议(六)RARP与IARP:被遗忘的兄弟协议
- 图解IP协议(一) IP协议原理与实践
10. 学习路线(by 陈鑫杰老师)
- 100天晋升Web安全工程师/白帽子黑客/渗透测试
- 全栈网络安全专家/Web安全工程师/白帽子黑客/
- 60天轻松入门网络安全
① Web安全工程师 / 渗透测试工程师 / 网络安全 / 白帽子黑客 学习成长路线图 by 拼客学院陈鑫杰老师
路线图解读:大部分新人在学习Web安全或渗透测试技术时,往往止步于“工具使用”,而忽略了底层原理,更没有代码编程能力,使得后续在安全行业的职场发展受到很大阻碍,而本路线图涵盖Web入门、Web前端开发、Web后端开发、Web安全渗透等,学员只要按照这个流程学好每个模块,便能够真正掌握Web前后端原理,能独立开发一个Web网站,并在代码级别上理解Web安全漏洞,真正意义上做到 [从原理到实战]。
② 全栈网络安全专家 / Web安全 / 渗透测试 / 白帽子黑客 职业发展路线图 by 拼客学院陈鑫杰老师
路线图解读:这个路线图是由我与很多一线名企的工程师或技术总监一同打造,经过多年升级迭代而成。无论是我的面授还是在线学员,每年都有大量学员通过路线图的学习,最终入职一线名企,包括但不限于腾讯、网易、360、微众、华为、华三、绿盟科技、深信服、知道创宇、中国移动…… 而每年这些入职于一线名企的学员,又会从最前线给我反馈一些课程研发建议,使得这些路线图能够持续迭代优化。
11. 面试题库
- 绿盟科技安全服务工程师面经(小乔)
- 360安全服务工程师面经(汤同学)
- 360安全服务工程师面经(刘同学)
- 中国移动信息安全工程师面经(小鸣)
- 更多面经
12. 靶场 / 实验室
- http://vulnhub.com
- http://vulapps.evalbug.com
- hackthebox.eu
- OWASP BWA
- DVWA
- Mutillidae II
- SQLi-labs
- Upload-labs
- PentesterLab
13. 安全响应中心(SRC)
- 腾讯SRC:https://security.tencent.com
- 阿里SRC:https://security.alibaba.com
- 百度SRC:http://sec.baidu.com
- 网易SRC:http://aq.163.com
- 新浪SRC:http://sec.sina.com.cn
- 京东SRC:http://security.jd.com
- 360SRC:http://security.360.cn
- 小米SRC:https://sec.xiaomi.com
- 唯品会SRC:https://sec.vip.com
- 欢聚时代SRC:http://security.yy.com
- 平安SRC:http://security.pingan.com
14. 安全众测平台
- 360补天:https://butian.360.cn
- Seebug:https://www.seebug.org
- 云盾先知:https://xianzhi.aliyun.com/
- 漏洞盒子:https://www.vulbox.com/
15. CTF安全比赛
国际CTF比赛:
- DEFCON CTF:CTF赛事中的“世界杯”
- UCSB iCTF:来自UCSB的面向世界高校的CTF
- Plaid CTF:包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛
- Boston Key Party:近年来崛起的在线解题赛
- XXC3 CTF:欧洲历史最悠久CCC黑客大会举办的CTF
国内CTF比赛:
- XCTF联赛:国内最权威、最高技术水平与最大影响力的CTF赛事平台
- 强网杯:最权威的国家级安全比赛,中央网信办网络安全协调局指导
- 红帽杯:广东省公安厅、广东省计算机网络安全协会举办
- AliCTF:阿里安全技术竞赛,由阿里巴巴公司组织
- TCTF: 腾讯信息安全争霸赛,由腾讯安全联合实验室主办
- BCTF:百度全国网络安全技术对抗赛,由百度安全主办
- WCTF:世界黑客大师赛,由360Vulcan团队组织
CTF资源:
- 攻防世界:https://adworld.xctf.org.cn/
- CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/
- CTF Time: https://ctftime.org/
- CTF Writeups https://github.com/ctfs
--------------------------------