如今,白帽代码“黑客”应该遵循哪些网站,twitter帐户,FOSS软件?
要做包括:
最新突破有关新安全问题(RSS,Twitter等)的信息
一个跟踪每个供应商未修补的安全问题的网站
信息安全领域知名人士的Twitter帐户,博客等。
是这些人吗?
他们以什么着称?
发布零日漏洞利用信息的社区
博客,Twitter,会议,聊天室(irc)
一位主题专家,提供有关密码学的最新指南(算法,密钥长度等),以及有关每个密码的安全性的最新信息。
开源软件有助于对安全领域感兴趣的开发人员的工具和工具
有关在美国和国外应用计算机黑客的法案和法律的信息(最好是程序员会理解的语言)。
可能包括CAN-SPAM法案,以及每个州的隐私法规
一个网站,该网站发布了详尽的XSS技术和排列列表;并希望可以用来保护自己的代码
请不要包含以下内容:
基础结构和网络支持组之间常见的指导
最近的ASP.NET安全问题是一个例外。
任何不关注代码或编程的列表或通知。
软件和工具不是开源的
部署清单(特别是如果没有与之关联的代码)
一般论坛和讨论列表,除非它们是安全社区所熟知和信任的
由于读者可能不是所有这些领域的专家,所以请让我们对每个链接有所了解,而不要创建链接的“垃圾场”。请认真尝试不要发布重复的链接。
由于这是“ security” .stackexchange.com,因此我希望获得比典型的sysadmin网站更多的响应范围。根据我的经验,系统管理员不会使用代码,开发人员真正不用担心什么。
#1 楼
为简明起见,我只添加两个:Microsoft的SDL博客,主要侧重于补救策略,缓解措施,威胁建模等,并且有时还会对发现的安全缺陷及其SDL的影响(或缺乏影响)进行非常开放,诚实的分析。 br />(不久,我希望http://security.stackexchange.com将被视为顶级产品... :))
#2 楼
我将列出一些我关注的资源,以保持有关安全问题的最新信息:安全焦点:您将在该网站上找到大量信息有关漏洞以及与安全相关的各种常规主题和特定主题。它还拥有大量的邮件列表,涉及信息安全的不同方面。
布鲁斯·施耐尔(Bruce Schneier)的博客:我认为我不需要解释布鲁斯·施耐尔(Bruce Schneier)是谁,但是如果您还没有听说过这个人,那么可以在这里阅读有关他的信息。
Bruce Schneier的Twitter:Bruce也有一个Twitter帐户,我认为值得关注。
特定于产品/供应商的安全邮件列表:每一个值得关注的大小产品都有一个安全列表,该列表用于跟踪和共享随着时间的推移发现的与产品有关的安全相关问题的信息。例如,我曾经大量使用slackware,并认真遵循他们的安全公告邮件列表,以使slackware能够在我的系统上运行并包含所有安全修复程序的最新信息。
phrack.com:这本杂志非常适合有关漏洞,漏洞,错误以及与信息和网络安全性有关的所有其他信息。
评论
非常好的资源,但是@ makerofthings7明确要求编码/应用程序资源。
–AVID♦
2010-11-21 12:40
-1:体面的名单,但OP明确表示:“由于读者可能不是所有这些领域的专家,因此请在每个帖子中发布一个站点/资源,并让我们对此有所了解。”因此,下降投票。
–mrnap
2011-2-28的3:39
#3 楼
以下是我最喜欢的一些站点(我都使用RSS):有关二进制数的深入信息,以及一些近期与安全相关的文章http:// www .exploringbinary.com
SANS Internet Storm Center,用于Internet安全警报http://isc.sans.edu
InfoSec新闻列表,用于综合安全新闻http:/ /www.infosecnews.org/
SecurityNow播客http://grc.com/securitynow.htm
Daily Dave,技术安全邮件列表https://lists.immunitysec .com / mailman / listinfo / dailydave
Didier Stevens的博客,许多与PDF相关的安全性帖子http://blog.didierstevens.com
F-Secure的博客,广泛的恶意软件警报http://www.f-secure.com/weblog
lcamtuf的博客,有关技术安全性文章http://lcamtuf.blogspot.com/
TaoSecurity ,专注于网络安全监控http://taosecurity.blogspot.com/
Ksplice的博客,有关软件和Linux的更多信息,但具有安全性或http://blog.ksplice.com
#4 楼
我发现阅读此博客非常有启发性。作者通常在Linux内核以及其他开放源代码项目中获取漏洞公告,并显示:易受攻击的代码
问题是什么
补丁
评论
什么博客?这个像在security.stackexchange.com中吗?
–埃弗里特
2010-11-20在16:05
@Everett:谢谢,在降价方面遇到麻烦,iPad最近也有很多分歧:(
–user185
2010-11-20在16:07
#5 楼
http://packetstormsecurity.org#6 楼
还没有人提到克雷布斯吗?他是那里最知名,最可靠的安全记者之一。KrebsOnSecurity
我会发更多帖,但是OP只要求每篇发表一篇(显然有些人忽略了阅读)。
评论
...,但随时可以添加更多帖子,以便可以单独对其进行投票。让最好的一个上升到顶部!
–半比特
2011-2-28在5:02
还是再说一次,也许我应该编辑原始帖子以说不要发布重复的链接?你的想法?否则我不想失去宝贵的见解
–半比特
2011-2-28在5:04
@makerofthings我认为,如果您的目标是最大限度地提高知识,那么在其中发表一篇可能带有<= 5个链接的帖子,并确保它们不重复是一个好政策。这样,人们仍然被迫选择他们的主要资源,但这也限制了过饱和。
–mrnap
2011-2-28 15:55
#7 楼
为什么没有人提到Exploit-DB?**编辑:
我强烈推荐这个项目的每个人:pentest-bookmark。我个人发现了很多有用的信息。
#8 楼
2600美国出版物,专门出版各种主题的技术信息,包括电话交换系统,Internet协议和服务,以及有关“地下”计算机和左翼计算机的一般新闻,有时(但不是最近) ),无政府主义者问题。
评论
不过,这不是一个开发人员眼。自1990年代以来,我一直在阅读,不记得只有几页代码了。这些天主要是“看看如果我按此顺序按下微波炉上的按钮会发生什么”。我仍然喜欢阅读它。
–user185
2011年5月10日下午16:27
#9 楼
lightbluetouchpaper.org-剑桥大学计算机实验室安全小组的博客-提供了英国正在兴起的法律问题的报道以及其他有趣的话题,但不一定给编码人员带来实际的好处。 Lawson的博客在代码级别提供了一些非常好的实用漏洞和缓解措施。他为BluRay共同开发了BD +加密货币,并在RSA,BlackHat和Google Tech Talk上发表过演讲。#10 楼
DefCon最初是1993年成立的,它的初衷是成为“ Platinum Net”成员的聚会,“ Platinum Net”是一种基于Fido协议的加拿大黑客网络。作为美国的主要枢纽,我正在帮助Platinum Net组织者(我忘记了他的名字)为所有成员BBS系统及其用户计划一个闭幕晚会。当他的父亲接受新工作并不得不搬走时,他打算关闭网络。我们谈论的是我们可能把它握在什么地方,突然之间,他突然提早离开并消失了。我只是在计划一个关闭网络的聚会,除了我的美国节点。我决定了什么,我邀请所有其他网络的成员加入我的BBS(暗切线系统)系统,其中包括国际网络犯罪组织(CCI),Hit Net,厌倦保护(ToP)等。我不记得的另外8个。为什么不邀请所有人参加#hack?好主意!
#11 楼
对于非常技术性的东西,紧跟研究文献是一个很好的资源。我遵循预印服务器(arxiv.org)的密码学和软件工程提要,我当然不会阅读每篇论文,但了解学术界的最新动向,跟上摘要和潜水的速度非常有用。进入有趣或相关的材料。#12 楼
可帮助对安全性领域感兴趣的开发人员的开源软件和工具:http://fuzzdb.googlecode.com
#13 楼
Haacked是Microsoft堆栈上Web开发人员的重要资源Least Privilege是另一项用于Microsoft技术的身份验证,身份和联合的重要资源。
#14 楼
我强烈推荐SpaceRogue的HNN Casthttp://www.hackernews.com
这是每周播出的视频,也总结了上周的热门新闻提到新的与安全相关的工具和更新。
#15 楼
来自lonerunners.net的SecDocs很好的网站,包含每日更新的论文,幻灯片,音频,安全会议的视频。相当庞大的安全信息数据库。
#16 楼
尽管网站管理员只是将文章发布过程交由社区掌握,但阅读http://rootsecure.net已有一段时间,只是日常安全链接的集合。#17 楼
获取一个Twitter帐户,以便您可以关注社区中流行的安全研究/黑客。查找最近的黑客会议,寻找新颖的演示文稿,并查找演示者的twitter帐户。如果他们在微博中发布个人信息,请取消关注,但在转发新闻时保留它们。查看Twitter的建议及其遵循的人员,然后继续该过程。您最终会得到一个很棒的,经过同行评审的新闻提要。老实说,我从#metasploit的闲逛中学到了很多东西。#18 楼
进攻性安全培训部分
Exploit-DB了解最新的漏洞利用和论文
用于视频,教程等的SecurityTube
#19 楼
https://www.reddit.com/r/netsec/wiki/meetups/citysec这是终极资源,您可以在infosec字段Period
https://www.reddit中找到。 com / r / netsec / wiki / start
评论
我不会尝试猜测您在其他地方所读的内容。由于这个问题很重要,希望您不要因为尝试提供帮助而惩罚我(-1)。@Everett-感谢您坚持这个问题的精神;即使它们不是我希望找到的最具突破性的回答;)
NP。我对这两款产品(以及2600 PodCast)的观点是,它们始终如一地将业界的新事物带给公众。试图寻找新的“突破性”信息源有些困难。通常,如果您阅读这些书,请访问当前的网站,关注更新的推文,然后转到当前的会议。我认为在公共领域想要这些东西的人不会建立新的站点/方式来从一个新的安全事件中获取信息。我真的不是想听起来像a $$。
我可以通过EFF,Hope会议,列入黑名单411的旧版,可以在CEH和CISSP的书籍中找到的软件列表,最新的书籍列表,IRC频道等来进行垃圾邮件发送。最终,没有我的答案将对您有所帮助,因为您已经知道了它们,所以它们已经在某个行业中出现了。