Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.
OWASP
OWASP — самый крупный портал по безопасности веба. Собрана информация о всевозможных атаках, векторах, гайдах по пентесту и многое другое. По нему можно сделать отдельную выборку ссылок:
- www.owasp.org/index.php/Top_10_2013-Top_10 — топ 10 атак на веб-приложения в 2013 году
- https://www.owasp.org/index.php/Category:OWASP_Download — загрузки. Обычно по ресурсу сразу проходятся — dir buster'ом
- www.owasp.org/index.php/Web_Application_Penetration_Testing — гайд по пентесту. В виде PDF
- www.owasp.org/index.php/Testing_Checklist — Чеклист (черновик)
Эксплойты
Сайты, где собрано множество различных эксплойтов (программ/техник автоматизирующих использование уязвимости)
- exploit-db.com
- 133day.com
- packetstormsecurity.com/
- www.vulnerability-lab.com/
- www.rapid7.com/db/modules/
Форумы
Bug Bounty
Многие сайты платят за уязвимости на своих сайтах
- blog.nibblesec.org/2011/10/no-more-free-bugs-initiatives.html — список BugBounty программ
- bugcrowd.com/ — площадка, где можно выставить свой сайт на пентест (временно) или поучаствовать в таком, получая за каждый баг деньги. Сейчас прошло что-то уже около 30+ таких пентестов.
Сборники уязвимостей на сайтах
- xssed.com — сборник в основном XSS уязвимостей (самый первый ресурс в этой сфере)
- bugscollector.com — любые уязвимости
- www.vulnerability-lab.com/show.php?cat=website
Capture the Flag
Соревнования по безопасности. Задачи участников или решать выданные им задачи, или взламывать & защищать друг друга
- ctftime.org — центральный сайт с расписанием различных CTF в мире, рейтингом команд, врайтапами и т.п.
- pentestit.ru — Лаборатория тестирования на проникновение. Тоже проводит конкурсы в стиле CTF. Кстати, они будут организовывать у нас, на ZeroNights, свою лабораторию. Любые желающие смогут попробовать свои силы в её взломе :)
Взлом WiFi
- www.aircrack-ng.org/doku.php?id=simple_wep_crack — взлом WEP
- www.aircrack-ng.org/doku.php?id=cracking_wpa — взлом WPA/WPA2 (подбор паролей)
- habrahabr.ru/company/xakep/blog/143834/ — взлом WiFi через PIN коды
- habrahabr.ru/post/122553/ — Подбор паролей к WPA/WPA2 с использованием видеокарты
Разное / WEB
- www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ — создание png файла с php кодом внутри
- pastebin.com/3cznqi8P — создание jpeg картинок с php кодом внутри, которые сохраняют этот php код после функций imagecopyresized() и imagecopyresampled()
- www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf — гайд по пентесту сайтов на Joomla
- Гайд по SQL injection: MySQL, MSSQL, Oracle SQL, PostgreSQL. Microsoft Access SQL, Ingres SQL
Разное / Прикладное ПО
- insecure.org/stf/smashstack.html — написание эксплойтов
Разное / Обучение
- course.secsem.ru/ — спецкурс «Современная криптография» и «Безопасность приложений» (факультет ВМК МГУ имени М. В. Ломоносова и компании Яндекс)
- www.securitytube.net/ — видео-уроки по взлому (практически любая тема)
- oisd.sergeybelove.ru/ — мои старые занятия х) есть записи на youtube
- www.offensive-security.com/metasploit-unleashed/Msfconsole_Commands — список команд metasploit
- www.agarri.fr/docs/HiP2k13-Burp_Pro_Tips_and_Tricks.pdf — советы и трюки по использованию Burp Pro
- github.com/rapid7/metasploit-framework/wiki/Setting-Up-a-Metasploit-Development-Environment — настройка окружения для MetaSploit
Security mailing lists
Рассылка на почту о разных уязвимостях
Конференции
Сайты конференций, публикующих презентации / записи докладов своих спикеров. Там бывает столько интересного, что можно неделю на них просидеть.
- www.blackhat.com/html/archives.html
- www.defcon.org/html/links/dc-archives.html
- 2012.zeronights.org/materials & 2011.zeronights.org/materials
- www.hackinparis.com/node/154
- PHDays. 2011 — семинары, мастер-классы, бизнес-семинары; 2012 — все презентации, записи докладов; 2013 — презентации, записи докладов, записи докладов на русском
- www.powerofcommunity.net/archives.html
- archive.hack.lu/
- www.nuitduhack.com/en#menu-624
- www.nullcon.net/website/archives/goa-2013.php
- www.derbycon.com/past-conferences/
- hacktivity.com
- hackmiami.org/2013/07/08/presentation-archive/
Предложения в комментариях (особенно про прикладное ПО) приветствуются!
Автор: BeLove
