1、Web security
1. 《http权威指南》【图灵出品】: 深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。
2. 《javascript权威指南》:淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。
3. 《xss跨站脚本攻击与防御》: 学习xss基础必备。也是目前国内唯一一本专门介绍xss技巧的书籍.
4. 《白帽子讲web安全》: 阿里安全专家吴瀚清处女作,大佬级黑客ucloud创始人季昕华做序,已成为web安全从业人员入门必看学习书籍。
5. 《web前端黑客技术揭秘》: 主要包含Web 前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。
6. 《代码审计:企业级web安全代码架构》配合《细说php》最佳: 阿里巴巴安全专家尹毅的新书
7. 《kali linux&back track渗透测试实践》【图灵出品】
8.《sql注入攻击与防御》: 详细的介绍了sql盲注等各种注入技巧。web安全入门必看。
9. 《网络扫描技术揭秘》: 出版已超过三年的老书,主要介绍网络扫描技术。如:分布式扫描,高速扫描等。
10. 《python黑帽子》 : 作者根据自己在安全界,特别是渗透测试领域的几十年经验,向读者介绍了Python 如何被用在黑客和渗透测试的各个领域,从基本的网络扫描到数据包捕获,从Web 爬虫到编写Burp 扩展工具,从编写木马到权限提升等.
11. 《黑客技术攻防宝典:web安全篇》: 看第一遍的时候可能看不懂讲的什么,主要看目录,一本普及面非常广阔的知识性图书,但是每个知识点概括不会很详细。也很值得收藏。
2、Mobile security
1) android security:
1. 《andriod软件安全与逆向分析》: 大非虫原创处女作,通俗易懂涉及面广。不管新手老手都适合看。全书主要讲解Android 环境搭建,Android组件,Android软件安全测试之法。
2. 《android安全攻防指南》: 众多大牛推荐…自然是不少干货为白帽子提供了漏洞发现、分析和利用的使用工具。在详细介绍android操作系统工作原理和总体安全架构后,研究了如何发现漏洞,为各种系统部件开发利用,并且进行应对。移动设备管理者、安全研究员、android应用程序开发者和负责评估android安全性的顾问都可以在本书中找到必要的指导和工具。
3. 《andriod安全攻防实战》:
4. 《andriod安全技术揭秘与防范》: 一本新书,红衣教主推荐
5. 《android系统安全和反汇编实战》
2) ios security:
1. 《ios应用安全攻防实战》:如何保障自己的应用数据安全?本书提供一些用于防御常见攻击方法的方式。
2. 《黑客攻防技术宝典ios实战篇》:国际大牛之作,介绍iOS应用漏洞挖掘方式,模糊测试技巧。
3. 《ios取证实战》:
4. 《ios应用逆向工程》: 国内iOS老手杜总的力作,充分介绍iOS 安全机制,iOS反汇编技巧。
5. 《移动应用安全》: 主要从Android iOS windows mobile三个方向谈及安全知识。
6. 《移动终端安全关键技术与分析》: 唯一一本讲移动终端安全的书籍,纯知识性。
3、Bin or Reverse Engineering
1. 《intel微处理器》:看雪坛友推荐
2. 《逆向工程核心原理》: 韩国翻译过来的逆向书籍,深入浅出各种反汇编大法。调试大法,上钩大法。介绍利用各种工具。特别适合入门。
3. 《加密与解密》: 看雪论坛创始人锻钢著作,经典之经典。主要介绍软件逆向,调试。反汇编,加壳脱壳等技术。
4. 《挖0day》: 八进制核心成员编写,测试方法基本过期。但是对于软件特性,漏洞挖掘思路绝对脑洞一开。
5. 《有趣的二进制》:不仅仅是书有趣,作者也是个有趣的人~一本由日文翻译过来的二进制安全书籍,翻译的非常仔细,仔细到调试工具里的弹窗文字都要翻译注释下来。基础书籍,事宜入门。也学学岛国的安全技术吧
6. 《模糊测试 强制发掘安全漏洞的利器》: 超经典书籍。里面介绍的挖掘方法基本过期。但是技术思路和全书介绍的不少fuzz工具绝对值得收藏。
7. 《汇编语言》: 了解汇编语言,寄存器,地址布局,汇编指令,数据段是件对逆向工程有好处的事儿~
8. 《格蠹汇编 软件调试案例锦集》: 全书通篇介绍作者软件调试实战。没有一点水货~也不扯淡。学软件调试就看这个了。
9. 《软件调试》: 上面那本书的姊妹篇,同一个作者。
10. 《逆向工程实战》: 这本书一上来就分析栈操作和函数调用,对于新手来说不建议直接就啃。不过内容详细,看看上面的其他书籍或者了解一下汇编和C语言知识再啃这个比较合适。
4、稍偏门类安全类
1. 无线:《无线网络黑客攻防》,详细介绍包括但不限于无线网络,无线蓝牙等无线攻防技术。了解什么是wpa,什么是cowpatty,mdk3。介绍 Auth Flood攻击 Deauth Flood攻击 Association Flood攻击 Disassociation Flood攻击RF Jamming攻击和各种漏洞测试方法。
2. 《揭秘家用路由0day漏洞挖掘技术》: 够详细,连指令表都有。从路由器web。客户端,以及硬件安全方面介绍,介绍了各种测试方法,利用方式,扫描技术。
3. 内核: 《内核漏洞的利用与防范》 ,不是很好理解的一本书,毕竟内核漏洞也不是想挖就挖的到的……
4. 浏览器:《web之困》,这是一本不介绍漏洞,也不讲测试的经典书。全原理式讲解浏览器安全的前世今生~
5. 数据安全:《数据驱动安全》,360某安全团队翻译过来的…大数据时代,当然用数据说话…只是对照着英文版发现有一丢丢的翻译错误。
6. 云计算安全:《信息安全技术 云计算服务安全指南》。
7. tools books:《metasploit渗透测试指南》、《wireshark2数据包分析实战》、《ida pro权威指南》 《kali linux渗透测试的艺术》、《github入门与实践》、《fiddle调试权威指南》、《计算机安全超级工具集》、《雷神的微软平台宝典》。
5、linux 类
1. 《linux内核源码剖析》上/下 : 几乎把Linux开源的每一段代码,每一条函数都拿出来分析。所以分成两本比较厚的书。了解Linux内核源码,操作原理就选这个了。
2. 《鸟哥的linux私房菜》: Linux安装到使用,搭建到指令。最最基础的Linux学习用书
3. 《linux内核完全注释》《ram linux内核源码剖析》
4. 《linux内核设计与实现》: 出版超过3年的经典书籍。从Linux内核进程,内核线程,调度,系统调用,中断和异常处理等方面概述了Linux内核的设计与实现原理。
5. 《tcp/ip详解》:描述了属于每一层的各个协议以及它们如何在不同操作系统中运行。作者用lawrence berkeley实验室的tcpdump程序来捕获不同操作系统和tcp/ip实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。
6、IT思维
1. 《我的互联网方法论》: 周鸿祎的龙头之作。他讲的方法其实就是他的产品理念
2. 《增长黑客》:书名写着“黑客”讲的主题却是营销,用大数据说明如何利用“黑客”为自己增值。适合创业者看~
3. 《德鲁克全书》:这本书本跟IT无关,但是里面的故事大多发生在互联网公司,并且适合创业者或者管理者阅读。一种把员工当成客户(上帝)的思维,层出不穷的管理体系理念。非常棒的管理思维。
4. 《谷歌是如何运营的》:想运营好自己的公司或者部门,可以先从这里参考或者一下学习一下谷歌是怎么做的。
5. 《乔布斯传》:乔布斯是我一直的偶像,真正的偶像。他的产品理念和创新思维绝对一流。不管是技术员,管理员,运维,CEO,都值得看看。
6. 《腾讯传》 话说马化腾,道言张小龙。讲QQ,谈微信!
7、优质的学习资源
1. 知乎周刊:http://zhuanlan.zhihu.com/
2. 码农周刊:http://weekly.manong.io/
3. Pycoder's Weekly:http://pycoders.com/archive/
4. Hacker News:News:https://news.ycombinator.com/
5. 合天网安实验室:http://www.hetianlab.com
6. Startup News:http://news.dbanotes.net/
7. 极客头条:http://geek.csdn.net/
8. InfoQ:http://www.infoq.com/cn
9. Stack Overflow:http://stackoverflow.com/
10. GitHub:GitHub:https://github.com/
11. FreeBuf:http://www.freebuf.com/
12. csdn博客:blog.csdn.net
13. 博客园:www.cnblogs.com
14. 雷锋网:leiphone.com
15. 吾爱破解:52pojie.cn
16. 看雪论坛:bbs.pediy.com
17. 绿盟科技博客:http://blog.nsfocus.net/
18. E安全:http://www.easyaq.com/
19.360播报:bobao.360.cn
20. 游侠安全网 http://www.youxia.org
8、第三方漏洞平台
1. 补天漏洞响应平台 ((https://butian.360.cn/ ): 自称是全球最大的漏洞平台,拥有上万名白帽子,对通用型漏洞奖金略高,1kb=3rmb。
2. 漏洞盒子(漏洞盒子(https://www.vulbox.com/ ): freebuf创办。
3. Sobug 众测平台(众测平台(https://sobug.com/ ): 冷 焰创办。
4. sebug漏洞库(sebug漏洞库(https://www.sebug.net/ ):一家以收集poc或exp为奖励的平台,据说挺赞的。
5. 比戈大牛(http://www.bigniu.com ): 新平台,以收购android bin漏洞为主,奖励很丰厚。
6. 阿里云盾先知计划( http://xianzhi.aliyun.com/ ):只收通用漏洞 最高奖金50w。
9、企业SRC
1. 网易安全中心 ( http://aq.163.com ):五块钱都可以换…
2. 腾讯安全应急响应中心 ( http://security.tencent.com/):据说是全中国最好的SRC。
3. 阿里巴巴安全应急响应中心(阿里巴巴安全应急响应中心(https://security.alibaba.com/ ):有钱任性,平台负责人是个高颜值帅哥。
4. 新浪安全应急响应中心(http://sec.sina.com.cn/):
5 . 百度安全中心(http://sec.baidu.com/): 奖励不是很高,作为bat却排在了最后。
6. 京东安全应急响应中心( http://security.jd.com/ ):奖励在步步提升了,并且和asrc一样有流动全国沙龙巡演。
7. 360安全应急响应中心 (http://security.360.cn/ ): 月排名奖金真的很吸引人!
8. 1号店安全应急响应中心( http://security.yhd.com/ ):
9. 金山安全应急响应中心(http://sec.kingsoft.com/ ): 小气小气小气小气小气....
10 . 携程安全应急响应中心(http://sec.ctrip.com/ ): 商城礼品略少正在逐步改善…
11. 去哪儿安全应急响应中心 ( http://security.qunar.com/ ):
12. 搜狗安全应急响应中心( http://sec.sogou.com/): 1安全币=1RMB。
13. 小米安全中心(小米安全中心(https://sec.xiaomi.com/ ): 奖金不多,也不算少,直接打钱的src.
14 . 联想安全应急响应中心( http://lsrc.lenovo.com/index.htm): 奖金正在逐步提升,不时翻倍.
15. 深信服安全响应中心(http://security.sangfor.com.cn ): 奖励直接发京东卡的。
16 . 魅族安全响应中心 ( http://sec.meizu.com/ ): 一币=10rmb,meizu pro5才280个币。
17. 安全狗(http://security.safedog.cn ):公告形式排名,运营比较温柔~
18. 迅雷( http://safe.xunlei.com ):不了解…
19. 欢聚时代安全应急响应中心( http://security.yy.com ) :奖励略少…
20. 平安集团安全应急响应中心( http://security.pingan.com ):直接以钱作为奖励方式,一个getshell大概4000块,积分比较狠。几十万来的。
21. 唯品会安全应急响应中心( http://sec.vip.com/ ):也算个良心src了,不过有个缺点就是,只以唯品卡为奖励方式,没满10的暂存。还挺不错。毕竟新生src。
22. 苏宁安全应急响应中心( http://security.suning.com/ssrc-web/index.jsp ): 有个审核有点帅……………一个币=5rmb,商城目前未上线,不过快了。
23. 滴滴打车安全应急响应中心(http://sec.didichuxing.com/ ): 刚上线…排行榜都木有
转载自原文链接, 如需删除请联系管理员。
原文链接:网络安全学习资料总汇,转载请注明来源!