滲透測試是尋找能夠用來攻擊應用程式、網絡和系統的漏洞的過程,其目的是檢測會被黑客攻擊的安全脆弱點。滲透測試可以檢測如下內容:系統對攻擊的反應,存在哪些會被攻擊的脆弱點,如果有,系統中哪些數據會被竊取。
關於滲透測試不要將滲透測試等同於簡單的漏洞掃描或者安全審計,它還要除此之外的工作。滲透測試有助於尋找非常複雜的攻擊向量,找到在開發階段沒能檢測出來的漏洞。在遭到入侵之後,也常使用滲透測試,檢測攻擊者的攻擊方法,還原出攻擊方法,並阻止與此相同的攻擊。
滲透測試是一些安全審計的主要構成部分,包括PCI-DSS規則,它要求對處理或保存支付信息的系統每年進行滲透測試。滲透測試人員會協同使用人工和自動測試,利用大量的工具進行測試。
由於安全世界的動態性,以及黑客的變化性,安全專家需要掌握最新的技術、工具和漏洞利用方法,以及滲透測試技術。應用程式安全是一個新領域,物聯網、容器、雲等新的安全風險不斷出現,滲透測試人員需要不斷更新自己的知識。
因此,我們提供13個最有用的滲透測試博客,幫你獲取最新知識,激勵你的白帽人生。其中一些有好幾年的滲透測試歷程了。他們都值得你關注和學習。
滲透測試博客和資源排名Carnal0wnage
這個博客是由一個攻擊研究團隊維護的,是滲透測試人員最好的信息來源之一,博客上發布了滲透測試技術、發現、新聞等等。該團隊在Black Hat上開設了培訓課程。
PentestGeek
2012年開始活躍,PentestGeek博客致力於分享作者的經驗。通過它也可以了解在大公司工作的經驗豐富的滲透測試者的每日工作。
Darknet
1999年從一個IRC頻道開始發展壯大,目前是一個定期更新的博客,討論最新的滲透測試新聞、工具和技術,有30,000多個用戶。
Lanmaster53
Tim Tomes維護的博客,Tim在博客中會詳細描述他的研究成果,博客內容覆蓋從Linux Shells、DEFCON badge hacking到AppSec hacks。
Marco Ramilli
Marco是一個安全研究者和白帽黑客。他在教育界也很有名氣,在數十年的工作經歷中擔任了各種教授和研究員職位。他的博客是對他的知識的擴展,Macro在博客上記錄他發現的一些絕妙的技術。
Common Exploits
由Daniel Compton維護,他是有20年的透測試經驗的專家,Common Exploits旨在分享Daniel的技術,工具、漏洞利用方面的新聞,以及其它滲透測試領域的內容。
SANS Penetration Testing Blog
SANS對於應用程式安全方面的人來說是一個非常好的資源。這個博客上可以找到各種滲透測試任務和挑戰,用於測試你的能力,也會發布特定的滲透測試工具和技術。
Trail of Bits Blog
由維護Trails of Bits的團隊寫的博客,這是一個在攻防領域都很專業的安全公司,這個博客收集了他們分享的知識,幫助企業改進或修復安全問題。
DigiNinja
Digininja對滲透測試者來說是一個必須要知道的資源,主要關注Metasploit、Wifi和網絡,Digininja是信息安全領域的人必讀的網站。
Ethical Hacking LinkedIn Group
最好的獲取最新滲透測試新聞的辦法是,在你喜歡的社交網站中,加入到一個組裡面或者關注滲透測試大牛。Ethical Hacking group是眾多社區中的一個,你可以加入並分享你自己的滲透測試資源。
EHacking.net
對所有滲透測試相關人員來說是一個非常棒的資源,Ehacking.net是又一個必須加入到書籤的網站。
Seclists.org
現在,依然有一部分信息安全社區依靠郵件列表獲取信息,儘管這看起來有些過時。Nmap Security Scanner人員運營著Seclists.org網站,提供了受歡迎的郵件列表的清單。不管是菜鳥還是滲透測試專家都可以找到適合自己的郵件列表。
Kitploit
如果你在尋找特定類型的工具,你可以在Kitploit網站上找到。這裡是滲透測試工具的寶庫,把它加入到你的書籤吧。
點擊閱讀原文獲取傳送門
* 參考來源:checkmarx,felix編譯,未經許可禁止轉載