外国网络安全研究网站推荐
简介
在学习网络安全的道路上,经常有些安全研究员问我有没有国外的好的学习网站推荐一下,感觉国内的太闭塞了,所以今天在这里好好总结一下。
博客
https://blog.sonarsource.com/
Clean Code公司的网络安全博客。
https://soroush.secproject.com/blog/
一个MDsec实验室成员的博客。
https://www.hackingarticles.in/
黑客文章,种类丰富。
https://www.inguardians.com/labs/
InGuardians实验室博客
https://digi.ninja/blog.php
其作者是SteelCon 的联合创始人,自由测试员,也是许多工具的作者。
https://cybersec.org/blog/
俄罗斯的一家安全公司
https://www.virtuesecurity.com/blog/
https://portswigger.net/blog
BurpSuite开发商的安全博客,文章非常棒(๑•̀ㅂ•́)و✧
https://versprite.com/security-resources/
安全博客
https://parsiya.net/
黑客教程,作者是Parsia,一名应用安全工程师,目前正在休假。
个人履历
2019-2022年:Electronic Arts高级安全工程师
2013-2019年:通过 2016 年 Cigital 收购担任Synopsys Software Integrity Group的高级安全顾问
https://spaceraccoon.dev/
作者Eugene Lim 是一名安全研究员和白帽黑客。从 Amazon 到 Zoom,他帮助保护应用程序免受一系列漏洞的影响,并在 Hackerone 排行榜上全球排名第二。2019年,他在Hackerone、美国空军、英国国防部和Verizon Media在洛杉矶举办的H1-213现场黑客活动中获得了最有价值黑客奖。2021 年,他是从 100 万白帽黑客中入选 H1-Elite 名人堂的 5 人之一。
https://blog.gdssecurity.com/
Gotham Digital Science (GDS) 是一家国际安全服务公司,专门从事应用程序和网络基础设施安全以及信息安全风险管理。GDS 的客户是世界上最大的金融服务机构和软件开发公司之一。
GDS 安全专家与客户一起评估风险,然后设计、构建和维护安全的应用程序、网络和流程。GDS 在纽约市和伦敦设有办事处,无缝、高效地协助客户在大西洋两岸开展业务。
在英国,GDS 是英国行业机构 CREST(注册道德安全测试员委员会)的成员,也是英国政府 CHECK 计划的成员,允许 GDS 为英国政府和英国关键国民提供安全保障服务处理保护性标记信息的系统基础设施。
GDS 还是经过认证的 CBEST 渗透测试提供商,允许 GDS 提供情报主导的渗透测试,作为英格兰银行 CBEST 计划的一部分。此外,GDS 是英国政府 Cyber Essentials 计划下的认证公司,允许 GDS 评估和认证组织是否符合 Cyber Essentials 标准。
http://www.labofapenetrationtester.com/
Nikhil SamratAshok Mittal的博客
https://darkbyte.net/
计算机安全和道德黑客博客,作者是Joel Gámez Molina
● 拥有超过 10 年经验的系统管理员
● 在 Cyberguard 担任首席技术官 2 年
● 目前在德勤担任安全顾问
● 道德黑客、渗透测试和 PowerShell 课程和硕士课程教授
● 在国内和国际网络安全会议上演讲
https://captmeelo.com/
黑客学习分享,文章少,但质量高,该作者的认证非常全:
认证红队专家 (CRTE)
认证红队操作员 (CRTO)
认证红队专家 (CRTP)
进攻性安全认证专家 (OSCE)
进攻性安全认证专家 (OSCP)
进攻性安全无线专业 (OSWP)
CREST 注册渗透测试仪 (CRT PEN)
CREST 从业者安全分析师 (CPSA)
https://0xhop.github.io/
Hop信息安全,作者是24 岁考了一堆 OSWP、OSCP、OSEP、OSED 和 CSIE的认证,也是Infosec Prep的版主。免杀规避写的不错,未来可期。
https://outflank.nl/blog/
一个关于红队、攻击模拟和其他 IT 安全故事的博客
https://netsec.expert/
作者Sam,是一名专业的安全工程师和安全研究员。目前在谷歌工作,帮助保护云的进攻和防守。工作之余,做了大量的安全研究(漏洞、技术、绕过等),参加 CTF 比赛,并花时间在不成功的项目上
https://v3ded.github.io/
主要关于代码审查、信息安全和可能的恶意软件分析
https://0xboku.com/
主要研究Web渗透测试、Windows和Linux系统的shellcode,还会分享一些自己挖的0day漏洞
https://www.cysrc.com/blog/
由以色列网络安全专家创立,他们在为全球政府、HLS 和大学建立基于先进技术的网络学院方面拥有多年经验和热情
https://starlabs.sg/
一家提供网络安全服务的新加坡公司的实验室博客
https://www.sandflysecurity.com/blog/
Sandfly是一家位于新西兰的安全公司,为北美、欧洲和亚太地区的客户提供服务,为网络安全团队和管理员提供保护 Linux 所需的专用网络安全平台,Linux 是当今运行互联网骨干的主导力量。
https://adepts.of0x.cc/
PWN较多
https://improsec.com/en/home
说是博客,但其实菜单里还有其他的内容,分类挺多的
https://mrd0x.com/
作者是一名渗透测试员和安全研究员,挖过的漏洞
CVE-2022-27608
CVE-2022-27609
CVE-2021-31836
收到过Palo Alto Networks和西门子的感谢信
https://blog.spookysec.net/tags/
幽灵安全,一个二次元头像的网络安全博客,标签挺多的
https://swarm.ptsecurity.com/
PT Security Weakness Advanced Research and Modeling (PT SWARM) 是 Positive Technologies 的进攻性安全部门
https://tutorialboy24.blogspot.com/
作者是Varma Kollu,一个学习者和热情的 CS 学生。他做过 CHFI、RedHat、Ethical hacking、网络和网络渗透测试。目前,他正在攻读毕业证书,学习游戏安全、红队、CTF 挑战和蓝队。
https://enigma0x3.net/
红队队员和安全迷的博客,精品文章很多
https://brutelogic.com.br/blog/#
专玩XSS的博客,作者Rodolfo Assis 又名“Brute Logic”(或简称“Brute”)是来自巴西的自学成才的计算机黑客,是一名自雇信息安全研究员和顾问。过去几年,他以在Twitter 上提供一些关于黑客主题的内容而闻名,包括黑客思维、技术、微代码(适合推文)和一些有趣的黑客相关内容。如今,他的主要兴趣和研究涉及跨站点脚本(XSS),这是网络上最普遍的安全漏洞。Brute 通过 Open Bug Bounty 平台(前 XSSposed)帮助修复了全球 Web 应用程序中的 1000 多个 XSS 漏洞 。其中一些包括甲骨文、LinkedIn、百度、 亚马逊、Groupon 和微软等科技行业的大公司。
https://cocomelonc.github.io/
一个使用猫猫头像的网络安全博客,有一个非常好的恶意软件编写系列
https://en.hackndo.com/
作者是是Pixis,newbiecontest管理员,关于计算机安全(Active Directory)、树莓/arduino/家庭自动化黑客
http://blog.redxorblue.com/
该博客是一组作者在进攻性和防御性安全方面的思想、工具和技术的集合
https://blog.talosintelligence.com/
思科的Talos实验室博客
https://www.rapid7.com/blog/
Rapid7博客
https://www.greyhathacker.net/
主要是恶意软件、漏洞利用等
https://xcellerator.github.io/
LKM系列和密码、逆向文章
https://zerosum0x0.blogspot.com/
有关逆向、渗透测试、漏洞利用开发的博客
网站
https://infocon.org/
黑客会议和安全会议档案
https://03c8.net/index.php
写的工具都挺有名的,就是博客有点极端,看看工具就好。。。
http://www.securitytube.net/
免费视频教学的网站,对会英语的极度友好,因为根本没翻译
https://hide01.ir/
免费学习的一个波斯语网站
https://evasions.checkpoint.com/
免杀规避技术的网站,种类全面有代码
https://www.ired.team/
红队笔记,被众多安全营销号搬运文章的笔记
https://null-byte.wonderhowto.com/
空字节网站,文章好,推荐的工具也不错
https://inc0x0.com/
取证、渗透测试、蜜罐
http://attack.mitre.org/techniques/enterprise/
ATT&CK技术
https://pentest.mxhx.org/
渗透测试笔记
https://owasp.org/www-project-web-security-testing-guide/stable/
OWASP渗透测试指南
https://sqlwiki.netspi.com/
SQL注入维基
https://hijacklibs.net/#
可用于劫持dll的库
https://cheatsheetseries.owasp.org/index.html
OWASP备忘单系列
https://notes.n3m3515.space/
有很多IOT相关的维基
https://pentestbook.six2dez.com/
有很多渗透测试的信息、脚本和知识
https://infosecwriteups.com/archive
世界上最好的黑客的一系列文章,主题从漏洞赏金和 CTF 到 vulnhub 机器、硬件挑战和现实生活中的遭遇。
https://www.kitploit.com/
渗透测试和黑客工具
https://happymod.com/
俄罗斯的安卓应用破解网站,TikTok就被破解过
论坛
https://cracked.io/index.php
知名破解论坛
https://hackforums.net/index.php
知名黑客论坛
https://forums.hak5.org/
Hak5论坛
https://0x00sec.org/
最早是靠编写恶意软件火的,可以说该论坛培养出了N个APT成员
https://habr.com/ru/hub/infosecurity/
最大的俄罗斯论坛
威胁情报
https://thehackernews.com/
懂的都懂
https://securityaffairs.co/wordpress/
安全事务
https://www.recordedfuture.com/blog
Threat Intelligence
https://threatconnect.com/blog/
更智能的安全性探讨
https://www.proofpoint.com/us/blog
网络安全情报、新闻和见解
https://www.malwarepatrol.net/onpatrol4malware-blog/
安全新闻和网络安全行业信息
https://www.assurainc.com/blog/
MZ化网络安全
https://www.zerodayinitiative.com/blog
Zero day initiative,0day倡议
https://www.akamai.com/blog/security?
用过Word Press做博客的都知道这个
https://www.wordfence.com/blog/
安全研究和安全新闻
https://zeroday.hitcon.org/vulnerability
主要针对湾湾的漏洞
CVE:https://cve.mitre.org/
NVD:https://nvd.nist.gov/
工具
https://armconverter.com/?disasm
在线HEX和ARM转换
https://dashboard.ngrok.com/get-started/setup
内网穿透
https://app.any.run/
Analysis沙箱
https://pastebin.com/
Pastebin在线复制粘贴
https://iplogger.org/
创建一个可以跟踪IP地址访问的URL链接
https://replit.com/learn
可以在线编写代码调试,也可以用来写网页
https://crackstation.net/
CrackStation在线密码hash破解
https://privacy.sexy/
在Windows和Mac OS上清除隐私
https://hack.chat/
在线匿名聊天频道
https://chitchatter.im/
另一个在线匿名聊天平台
https://www.explainshell.com/
将命令行参数与文本匹配
https://requestbin.net/
提供子域用来检测DNS和HTTP请求,可以用来作DNS C2
https://hexed.it/
在线十六进制编辑器
http://aem1k.com/
生成各种各样的JS
https://learn.microsoft.com/en-us/sysinternals/
微软官网提供的一些Windows工具下载和文档
https://malpedia.caad.fkie.fraunhofer.de/
Malpedia,快速识别恶意软件执行上下文和相关内容
https://otx.alienvault.com/preview
恶意软件查找、分析
https://leak-lookup.com/breaches
Leak lookup,泄露数据库查找
https://vulmon.com/
Vulmon,漏洞情报搜索引擎
https://www.abuseipdb.com/
AbuseIPDB,检测IP地址是否滥用
https://www.hybrid-analysis.com/file-collections
Hybrid Analysis,分享样本的沙箱
https://bazaar.abuse.ch/browse/
Malware Bazaar,恶意软件样本数据库
https://www.joesandbox.com/#windows
Joe Sandbox,多平台沙箱
https://sploitus.com/
Sploitus,漏洞利用搜索平台
https://lolbas-project.github.io/
LOLBAS,显示Windows自带的程序对红队的作用
https://www.revshells.com/
Revers Shell Generator,反向shell生成器
https://gchq.github.io/CyberChef/
Cyber Chef,在线加密解密各种编码,还能替换过滤字节
https://www.fakenamegenerator.com/index.php#
生成随机名称,拥有一整套身份,还有可用邮箱
https://abhijithb200.github.io/investigator/
investigator,在线域名信息检测
https://start.me/p/rx6Qj8/nixintel-s-osint-resource-list
Nixintel,OSINT资源列表
http://sandsprite.com/sc2exe/shellcode_2_exe.php
shellcode生成exe
https://wordlists.assetnote.io/
字典列表
https://blog.didierstevens.com/my-software/
Didier Stevens大佬的工具下载站点,知名的oledump就是该大佬写的工具
https://www.expireddomains.net/
Expired Domains,过期域名查询
https://gtfobins.github.io/
GTFOBins,Unix程序对红队的作用
https://xsshunter.com/app
免费XSS平台
https://evilcos.me/lab/xssor/
XSS'OR,XSS、CSRF等语句编码转换
https://www.joeware.net/freetools/index.htm
Joeware大佬工具下载,知名的ADfind就是该作者写的
https://crypto-loot.org/
创建网页挖矿,用户访问,用户替你挖矿
https://www.shodan.io/dashboard
物联网探测
https://app.binaryedge.io/services/query
扫描整个互联网
https://search.censys.io/search?resource=hosts
扫描IP地址和证书
https://www.exploit-db.com/
漏洞利用数据库、谷歌黑客语法、shellcode等等
结语
暂时推荐这么多,每个推荐的网站对自己的技术提升都会有帮助,也是笔者精心收藏的