Содержание
Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.
OWASP
OWASP — самый крупный портал по безопасности веба. Собрана информация о всевозможных атаках, векторах, гайдах по пентесту и многое другое. По нему можно сделать отдельную выборку ссылок:
- www.owasp.org/index.php/Top_10_2013-Top_10 — топ 10 атак на веб-приложения в 2013 году
- https://www.owasp.org/index.php/Category:OWASP_Download — загрузки. Обычно по ресурсу сразу проходятся — dir buster’ом
- www.owasp.org/index.php/Web_Application_Penetration_Testing — гайд по пентесту. В виде PDF
- www.owasp.org/index.php/Testing_Checklist — Чеклист (черновик)
Эксплойты
Сайты, где собрано множество различных эксплойтов (программ/техник автоматизирующих использование уязвимости)
- exploit-db.com
- 1337day.com
- packetstormsecurity.com/
- www.vulnerability-lab.com/
- www.rapid7.com/db/modules/
Форумы
Bug Bounty
Многие сайты платят за уязвимости на своих сайтах
- blog.nibblesec.org/2011/10/no-more-free-bugs-initiatives.html — список BugBounty программ
- bugcrowd.com/ — площадка, где можно выставить свой сайт на пентест (временно) или поучаствовать в таком, получая за каждый баг деньги. Сейчас прошло что-то уже около 30+ таких пентестов.
Сборники уязвимостей на сайтах
- xssed.com — сборник в основном XSS уязвимостей (самый первый ресурс в этой сфере)
- bugscollector.com — любые уязвимости
- www.vulnerability-lab.com/show.php?cat=website
Capture the Flag
Соревнования по безопасности. Задачи участников или решать выданные им задачи, или взламывать & защищать друг друга
- ctftime.org — центральный сайт с расписанием различных CTF в мире, рейтингом команд, врайтапами и т.п.
- pentestit.ru — Лаборатория тестирования на проникновение. Тоже проводит конкурсы в стиле CTF. Кстати, они будут организовывать у нас, на ZeroNights, свою лабораторию. Любые желающие смогут попробовать свои силы в её взломе :)
Взлом WiFi
- www.aircrack-ng.org/doku.php?id=simple_wep_crack — взлом WEP
- www.aircrack-ng.org/doku.php?id=cracking_wpa — взлом WPA/WPA2 (подбор паролей)
- habrahabr.ru/company/xakep/blog/143834/ — взлом WiFi через PIN коды
- habrahabr.ru/post/122553/ — Подбор паролей к WPA/WPA2 с использованием видеокарты
Дистрибутивы
Различные дистрибутивы Linux, уже напичканные разными тулзами для работы в данной сфере
Разное / WEB
- www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ — создание png файла с php кодом внутри
- pastebin.com/3cznqi8P — создание jpeg картинок с php кодом внутри, которые сохраняют этот php код после функций imagecopyresized() и imagecopyresampled()
- www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf — гайд по пентесту сайтов на Joomla
- Гайд по SQL injection: MySQL, MSSQL, Oracle SQL, PostgreSQL. Microsoft Access SQL, Ingres SQL, SQLite
- raz0r.name/
Разное / Прикладное ПО
- insecure.org/stf/smashstack.html — написание эксплойтов
- redplait.blogspot.ru/
Разное / Обучение
- course.secsem.ru/ — спецкурс «Современная криптография» и «Безопасность приложений» (факультет ВМК МГУ имени М. В. Ломоносова и компании Яндекс)
- www.securitytube.net/ — видео-уроки по взлому (практически любая тема)
- oisd.sergeybelove.ru/ — мои старые занятия х) есть записи на youtube
- www.offensive-security.com/metasploit-unleashed/Msfconsole_Commands — список команд metasploit
- www.agarri.fr/docs/HiP2k13-Burp_Pro_Tips_and_Tricks.pdf — советы и трюки по использованию Burp Pro
- github.com/rapid7/metasploit-framework/wiki/Setting-Up-a-Metasploit-Development-Environment — настройка окружения для MetaSploit
- www.hackthissite.org/
- www.dvwa.co.uk/
Security mailing lists
Рассылка на почту о разных уязвимостях
Конференции
Сайты конференций, публикующих презентации / записи докладов своих спикеров. Там бывает столько интересного, что можно неделю на них просидеть.
- www.blackhat.com/html/archives.html
- www.defcon.org/html/links/dc-archives.html
- 2012.zeronights.org/materials & 2011.zeronights.org/materials
- www.hackinparis.com/node/154
- PHDays. 2011 — семинары, мастер-классы, бизнес-семинары; 2012 — все презентации, записи докладов; 2013 —презентации, записи докладов, записи докладов на русском
- www.powerofcommunity.net/archives.html
- archive.hack.lu/
- www.nuitduhack.com/en#menu-624
- www.nullcon.net/website/archives/goa-2013.php
- www.derbycon.com/past-conferences/
- hacktivity.com
- hackmiami.org/2013/07/08/presentation-archive/
- 2013.confidence.org.pl/materials (и года ранее)
Блоги(неру)
blog.g0tmi1k.com/
memset.wordpress.com/
blog.zx2c4.com/
blog.cr0.org/
doar-e.github.io/
security-sh3ll.blogspot.com
websec.wordpress.com/
Блоги(ру)
devteev.blogspot.com/
ahack.ru/
c3ret.wordpress.com/
oxod.ru/
leetmore.ctf.su/
alive-green.blogspot.ru/
hardc0de.ru/
drakonoid.ru/
Ссылки по безопасности в корпоративной сети:
devteev.blogspot.ru/
carnal0wnage.attackresearch.com
www.room362.com/blog/
www.slideshare.net/mubix
www.slideshare.net/chrisgates
diablohorn.wordpress.com
webstersprodigy.net/
www.pentestgeek.com/
www.darkoperator.com/
www.ampliasecurity.com/research/
pentestmonkey.net/
blog.strategiccyber.com/
markgamache.blogspot.ru/
www.labofapenetrationtester.com/
passing-the-hash.blogspot.ru/
pen-testing.sans.org/blog/, computer-forensics.sans.org/blog/ (и остальные блоги от SANS)
www.netspi.com/blog
www.fishnetsecurity.com/6labs/blog/
blog.commandlinekungfu.com/