zl程序教程

您现在的位置是:首页 >  工具

当前栏目

安全学习工具和研究途径整理分享

工具安全学习 分享 研究 整理 途径
2023-09-27 14:21:07 时间

希望可以帮助大家拓宽自己的安全学习、研究范围,多了解一些提升自己安全的途径。

本文作者:i春秋签约作家——夏之冰雪

恩,首先我分享国内top 3的最重要途径:

1. i春秋学院课程,里面有大量的精品课程,值得各阶段的人去学习。

2. i春秋论坛,恩,当你看到这篇帖子时,充分说明这个途径你已经掌握了。

3. i春秋各类qq群,一个人是寂寞的,一群人的学习和分享才会有基情。

除了top3,还有没有其他的途径呢?

对于新人而言,除了将安全领域的知识学扎实,还要尽量多的玩一玩各种安全工具,正所谓玩的6了,自然就会成长。

可以通过很多渗透集成框架,进行深入学习,很多框架或者操作系统集成了多款安全工具。

比如kali,尝试对kali的所有工具做研究,肯定会丰富自己的知识。

再比如,有这么一款工具——PentestBox,是一款Windows平台下预配置的便携式开源渗透测试环境。可以让我们很舒适的在windows下用很多工具,包括:

1. sqlmap

数据库注入检测神器,应该不用介绍了

2. Burp Suite

web请求分析及攻击工具

3. Commix

命令注入工具,蛮小巧精致的,一旦发现命令注入,让你非常舒适的“可视化控制”对方。

4. dotdotpwn 

模糊遍历网站风险目录,还可以解析* NIX passwd文件提取用户的主文件夹和搜索不同的常见文件的组合。

5. fimap

一款本地及远程的文件包含漏洞检测工具,集成了google语法搜索,对于我们围墙里的孩子,用起来比较尴尬。

6. golismero

开源的Web扫描器,它不但自带不少的安全测试工具,而且还可导入分析市面流行的扫描工具的结果,比如Openvas,Wfuzz, SQLMap, DNS recon等,并自动分析。

7. jSQL

一款Java开发的轻量级远程服务器数据库注入漏洞测试工具。

不过有了sqlmap,这个用处我觉得一般。

8. nikto

网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs.

9. wpscan

wordpress安全检测神器,推荐。

10. 等等

由于集成了很多工具,所以体积有些大,不过也是值得下载的。下载下来不需要安装,所有依赖pentestbox都尽可能装好了,默认情况下,我们只需要解压,就可以开始安全工具测试之旅了。

官网:https://tools.pentestbox.org/

由于下载可能较大,提供一个百度网盘地址:

https://pan.baidu.com/s/1hrLTZzI

再给一个网址:

https://linuxsecurity.expert/security-tools/top-100/

这里面集成了很多出名的安全工具,强烈推荐。

经常关注github上面的安全项目,有些项目作者会持续更新的,这类项目会根据最新的安全漏洞进行持续跟踪和升级,方便我们使用,比如:

ssl漏洞自动扫描

https://github.com/hahwul/a2sv

学着自己搜集一些安全咨询网站和blog,进行rss订阅。如果太懒,也可以看看别人的,比如有些人会汇总每日安全动态:

https://kevien.github.io/

大家都有什么好的学习研究途径,有哪些比较好的网址、项目,欢迎提出来。

以上,仅抛砖引大佬们的玉。

2017-08-31 20:38  追加:

android安全,有人专门收录整理了详细的资料,包括:

android 在线分析大全、动态/静态分析工具集、app漏洞扫描系列、fuzz测试、漏洞汇总等。

地址(强烈推荐):https://github.com/ashishb/android-security-awesome

而对于php安全,也有很多好用的开源工具值得研究:

https://github.com/ezyang/htmlpurifier

https://github.com/psecio/iniscan

https://github.com/defuse/php-encryption

https://github.com/jenssegers/optimus

总之,不要只局限于中文资料,和exe工具,要多看看github,github上面有非常多值得学习的安全工具。

当然,别忘了分享到论坛里哦~