每个黑客都应该了解的9个文档
今天正值国庆十一假期的第一天,先祝愿大家节日快乐!
今天的内容主要是给大家分享以下9个国外非常优质的网络安全技术学习文档资源:
01
HackTricks Book
HackTricks Book 是一个综合的网络安全知识库,涵盖了渗透测试和红队的各个方面,主要内容包括:
漏洞类型: 跨站脚本 (XSS)、SQL 注入、命令注入、服务器端请求伪造 (SSRF)、身份验证绕过、本地文件包含 (LFI)、远程文件包含 (RFI)、XML 外部实体注入 (XXE) 等;
攻击阶段: 侦察、漏洞扫描、漏洞利用、权限提升、后渗透、数据提取等;
目标平台: Web 应用程序、移动应用程序、操作系统、网络设备、云服务等;
工具和技术: Metasploit、Burp Suite、Nmap、Wireshark、PowerShell、Python 等。
请点击以下链接访问: https://book.hacktricks.xyz/
02
pentestbook
Pentest Book 是一个专注于渗透测试的在线书籍和资源库。它涵盖了渗透测试的各个方面,包括:
渗透方法论: 渗透测试的流程、方法论、标准和最佳实践;
信息收集: 主动和被动信息收集技术,包括域名枚举、端口扫描、服务识别、漏洞扫描等;
漏洞利用: 针对各种常见漏洞的利用技术,包括 Web 应用程序漏洞、操作系统漏洞、网络设备漏洞等;
权限提升: 提升权限的各种技术,包括本地权限提升、远程权限提升、域权限提升等;
后渗透: 在获得目标系统访问权限后进行的各种操作,包括横向移动、数据提取、持久化控制等;
报告: 编写渗透测试报告的最佳实践,包括漏洞描述、风险评估、修复建议等。
请访问以下链接: https://pentestbook.six2dez.com
03
bughunter-handbook
漏洞猎人手册是一本面向漏洞赏金猎人和安全研究人员的实用指南,涵盖了漏洞挖掘的各个方面,包括:
漏洞赏金基础: 介绍了漏洞赏金的基本概念、运作方式、参与平台以及盈利模式等;
信息收集: 详细介绍了各种信息收集技术,例如子域名枚举、端口扫描、服务识别、目录枚举、敏感信息泄露等;
漏洞类型: 涵盖了常见 Web 应用程序漏洞的挖掘方法,例如跨站脚本 (XSS)、SQL 注入、命令注入、服务器端请求伪造 (SSRF)、业务逻辑漏洞等;
漏洞利用: 介绍了如何利用已发现的漏洞,并提供了一些常用的漏洞利用工具和技术;
漏洞报告: 指导读者如何编写专业的漏洞报告,并与相关平台或厂商进行沟通;
其他资源: 提供了丰富的学习资源,例如漏洞赏金平台列表、安全工具列表、学习资料等。
请访问以下链接: https://gowthams.gitbook.io/bughunter-handbook
04
InternalAllTheThings
InternalAllTheThings 是一个专注于内网渗透测试和攻击技术的知识库。它涵盖了内网攻击的各个方面,包括:
信息收集: 内网环境下的信息收集技术,例如网络扫描、主机发现、服务枚举、用户枚举、域信息收集等;
漏洞利用: 针对内网环境中常见服务的漏洞利用技术,例如 Active Directory 漏洞、Windows 漏洞、Linux 漏洞、网络设备漏洞等;
权限提升: 在内网环境中提升权限的各种技术,例如利用系统漏洞、配置错误、弱口令、密码破解等;
横向移动: 在内网中横向移动的各种技术,例如利用凭据传递、Pass-the-Hash、SMB 中继等;
持久化控制: 在目标系统上建立持久化控制的各种技术,例如后门程序、rootkit、计划任务等;
数据提取: 从目标系统中窃取敏感数据的各种技术,例如数据库访问、文件传输、网络嗅探等;
防御绕过: 绕过内网安全防御机制的各种技术,例如防火墙、入侵检测系统、杀毒软件等。
请访问以下链接: https://swisskyrepo.github.io/InternalAllTheThings/
05
Introduction
Introduction提供应用安全基础知识的入门指南。它涵盖了web应用安全的核心概念和实践,包括:
Web 应用程序安全基础: 介绍了 Web 应用安全的基本概念、常见漏洞类型、攻击方法和防御策略;
OWASP Top 10: 详细讲解了 OWASP Top 10 漏洞,包括跨站脚本 (XSS)、SQL 注入、身份验证失效、敏感数据泄露、XML 外部实体注入 (XXE) 等,并提供实际案例和防御建议;
安全测试方法: 介绍了常见的安全测试方法,例如黑盒测试、白盒测试、灰盒测试,以及渗透测试的流程和方法论;
安全工具: 介绍了一些常用的安全测试工具,例如 Burp Suite、OWASP ZAP、Nmap 等,并提供基本的使用方法;
安全编码实践: 提供了一些安全编码的最佳实践,例如输入验证、输出编码、安全会话管理等,帮助开发者编写更安全的代码。
请访问以下链接: https://oreobiscuit.gitbook.io/introduction
06
SecurityBoat
SecurityBoat 的渗透测试工作手册是一个全面的在线资源,旨在为渗透测试人员和网络安全专业人士提供指导。它涵盖了渗透测试的各个阶段和方面,包括:
信息收集: 涵盖各种信息收集技术,从公开来源情报(OSINT)到主动扫描和侦察,帮助渗透测试人员全面了解目标系统;
漏洞评估: 探讨各种漏洞评估技术,包括自动扫描、手动测试和代码审查,以识别目标系统中的安全弱点;
漏洞利用: 提供针对不同类型漏洞的利用技术和方法,包括 Web 应用程序漏洞、操作系统漏洞、网络设备漏洞等;
权限提升: 介绍在目标系统上提升权限的各种技术,例如利用系统漏洞、配置错误、弱口令等;
后渗透: 涵盖后渗透阶段的各种技术,例如横向移动、数据窃取、持久化控制等;
报告: 指导渗透测试人员如何编写专业的渗透测试报告,包括漏洞描述、风险评估、修复建议等。
请访问以下链接: https://workbook.securityboat.net/Pentesting/
07
s0cm0nkeys
S0cm0nkey 的安全参考指南是一个综合性的网络安全知识库,旨在为安全专业人士、学生和爱好者提供广泛的网络安全主题指南。其内容涵盖以下几个关键领域:
渗透测试: 详细介绍了渗透测试的各个阶段,包括信息收集、漏洞扫描、漏洞利用、权限提升、后渗透等,并提供各种工具和技术的实践指南;
网络安全基础: 涵盖了网络安全的基本概念、原则和最佳实践,例如网络拓扑、安全协议、加密技术、身份验证和访问控制等;
安全工具: 介绍了各种常用的安全工具,包括网络扫描器、漏洞扫描器、密码破解工具、流量分析工具等,并提供使用教程和实际案例;
恶意软件分析: 涵盖了恶意软件分析的基础知识、技术和工具,例如静态分析、动态分析、逆向工程等,帮助读者理解恶意软件的行为和防御方法;
安全事件响应: 介绍了安全事件响应的流程和方法论,包括事件识别、事件分析、事件遏制、事件恢复等,并提供一些实用的工具和技术;
其他主题: 涵盖了其他网络安全相关主题,例如云安全、物联网安全、安全审计、安全合规等。
请访问以下链接: https://s0cm0nkey.gitbook.io/s0cm0nkeys-security-reference-guide
08
bugbounty-tips
漏洞赏金秘籍这本在线书籍专门面向漏洞赏金猎人,旨在提供各种实用技巧和策略,帮助他们在漏洞赏金项目中取得成功。涵盖以下关键领域:
漏洞赏金基础:介绍漏洞赏金的基本概念、运作模式、参与平台和盈利模式等,帮助新手了解漏洞赏金的运作机制;
侦察技巧:涵盖各种信息收集技术,包括子域名枚举、端口扫描、服务识别、目录枚举、敏感信息泄露等,帮助猎人更有效地发现目标;
漏洞类型和挖掘技巧:深入探讨常见 Web 应用程序漏洞,例如跨站脚本 (XSS)、SQL 注入、命令注入、服务器端请求伪造 (SSRF)、业务逻辑漏洞等,并提供针对性的挖掘技巧;
漏洞利用链和影响最大化:指导读者如何将多个漏洞组合起来,形成更具影响力的攻击链,从而提高漏洞的危害等级和赏金回报;
漏洞报告撰写:提供专业的漏洞报告撰写指南,包括漏洞描述、复现步骤、影响分析、修复建议等,帮助猎人提交高质量的漏洞报告;
经验分享和资源推荐:作者分享自己的漏洞赏金实战经验,并推荐一些有用的学习资源、工具和社区,帮助读者不断提升技能。
请访问以下链接: https://gowsundar.gitbook.io/book-of-bugbounty-tips
09
sec-88/api-sec
Sec-88: API Security" 是一本专门针对API安全性的综合指南,旨在帮助开发人员、安全专业人员和测试人员理解和解决 API 安全挑战。涵盖以下关键领域:
API 安全基础: 介绍 API 的基本概念、工作原理、安全风险和常见攻击类型,例如身份验证漏洞、授权漏洞、数据泄露、拒绝服务攻击等;
OWASP API Security Top 10: 详细讲解 OWASP API Security Top 10 漏洞,包括失效的对象级别授权、失效的身份验证、过度的数据暴露、缺乏资源和速率限制、失效的功能级授权、批量分配、安全配置错误、注入、不当的资产管理、不足的日志记录和监控等;
API 安全测试: 介绍 API 安全测试的方法和工具,例如黑盒测试、白盒测试、模糊测试、渗透测试等,并提供实际案例和测试技巧;
API 安全最佳实践: 提供 API 安全设计的最佳实践,例如身份验证和授权机制、数据加密、输入验证、输出编码、访问控制、速率限制、日志记录和监控等,帮助开发者构建更安全的 API;
API 安全工具和技术: 介绍一些常用的 API 安全工具和技术,例如 API 网关、Web 应用防火墙 (WAF)、身份和访问管理 (IAM) 系统等,帮助读者了解如何利用这些工具和技术来增强 API 安全性。
请访问以下链接: https://sallam.gitbook.io/sec-88/api-sec
如果您觉得文章对您有所帮助,还请您关注我!