Посоветуйте, что почитать. Часть 1
Делиться с сообществом полезной информацией всегда приятно. Мы попросили наших сотрудников посоветовать ресурсы, которые они сами посещают, чтобы быть в курсе событий в мире ИБ. Подборка получилась большая, пришлось разбить на две части. Часть первая.
- NCC Group Infosec [1] — технический блог крупной ИБ компании, которая регулярно выпускает свои исследования, инструменты/плагины для Burp.
- Gynvael Coldwind [2] — исследователь безопасности, основатель топовой ctf-команды Dragon Sector.
- Null Byte [3] — твиты про хакинг и железо.
- HackSmith [4] — разработчик SDR и исследователь в области безопасности RF и IoT, твитит/ретвитит в том числе про взлом железа.
- DirectoryRanger [5] — про безопасность Active Directory и Windows.
- Binni Shah [6] — пишет в основном про железо, ретвитит посты на самые разные темы ИБ.
Telegram
- [MIS]ter & [MIS]sis Team [7] — ИБ глазами RedTeam. Много качественного материала, посвященного атакам на Active Directory.
- Кавычка [8] — типичный канал про веб-баги для любителей веб-багов. Чаще всего делается акцент на разборах способов эксплуатации типовых уязвимостей и советах по эффективному применению ПО, менее известные, но полезные фичи.
- Киберп*eц [9] — канал про технологии и ИБ.
- Утечки информации [10] — дайджест утечек данных.
- Админим с Буквой [11] — канал про системное администрирование. Не совсем ИБ, но полезно.
- linkmeup [12] — канал подкаста linkmeup, на котором энтузиасты с 2011 года обсуждают сети, технологии и ИБ. Советуем также заглянуть на сайт [13].
- Life-Hack [Жизнь-Взлом]/Хакинг [14] — посты про взлом и защиту понятным языком (для начинающих самое то).
- r0 Crew (Channel) [15] — дайджест полезных материалов преимущественно по RE, exploit dev и malware analysis.
Github repository
- kabachook / k8s-security [16] — заметки по безопасности kubernetes.
- Alexis Ahmed / hacker101 [17] — набор видеоуроков по веб-безопасности, разбор уязвимостей, практические задания.
- Hack-with-Github / Awesome-Hacking [18] — коллекция репозиториев по темам для хакеров, пентестеров и исследователей безопасности. We need to go deeper.
- EdOverflow / bugbounty-cheatsheet [19]
- infosecn1nja / AD-Attack-Defense [20]
Blogs
- Project Zero [21] — обычно не нуждаются в представлении, но если вы о них не слышали: это команда крутых специалистов, которые занимаются поиском уязвимостей уровня "remote jailbreak for top iOS without user interaction", и не ради денег, а ради всеобщей безопасности.
- PortSwigger Blog [22] — блог разработчиков комбайна Burp Suite, ставшего де-факто стандартом для веб-безопасности. Посвящен, конечно же, безопасности веб-приложений.
- Firmware Security [23]
- Active Directory Security [24]
- Black Hills Information Security [25] — написали много довольно полезных при аудите утилит/скриптов, помимо блога, активно делятся знаниями в своих подкастах.
- Sjoerd Langkemper. Web application security [26]
- Pentester Land [27] — каждую неделю здесь публикуется дайджест с видео и статьями по пентесту.
Youtube
Блогеры
- GynvaelEN [28] — видео-райтапы, в том числе от небезызвестного Gynvael Coldwind из Google security team и основателя топовой ctf-команды Dragon Sector, где он рассказывает много интересного про реверс, программирование, решение CTF-тасков и аудит кода.
- LiveOverflow [29] — канал с очень качественным контентом — простым языком про крутые методы эксплуатации. Также встречаются разборы интересных отчетов по BugBounty.
- STÖK [30] — канал с акцентом на BugBounty, ценные советы и интервью с топ-багхантерами площадки HackerOne.
- IppSec [31] — прохождение машин на Hack the box.
- CQURE Academy [32] — компания, специализирующаяся на аудите Windows инфраструктуры. Много полезных видео о различных аспектах Windows систем.
Конференции
- ZeroNights [33]
- Black Hat [34]
- DEFCON [35]
- Security Fest [36]
- RUXCON [37]
- OffensiveCon [38]
- RECON [39]
- SyScan [40]
- TROOPERScon [41]
- Shakacon LLC [42]
- Infiltrate [43]
- DEFCONConference [44]
- CCC [45]
- Hack In The Box Security Conference [46]
- Microsoft BlueHat [47]
- H2HC [48]
- EkoParty security conference [49]
- BugCrowd [50]
- OwaspGlobal [51]
Академические конференции
- NDSS Symposium [52]
- IEEE Symposium on Security and Privacy [53]
- FOSDEM [54]
- USENIX [55]
- USENIX Enigma Conference [56]
- International Symposium on Research in Attacks, Intrusions and Defenses (RAID) [57]
Индустриальные конференции
- The Linux Foundation [58]
- LLVM [59]
Systematization of Knowledge (SoK)
Этот тип академических работ может быть очень полезен на самом старте погружения в новую для вас тему или при систематизации информации. Найти такие работы несложно, вот несколько примеров:
- SoK: (State of) The Art of War: Offensive Techniques in Binary Analysis [60]
- SoK: Eternal War in Memory [61]
- SoK: Make JIT-Spray Great Again [62]
- SoK: Consensus in the Age of Blockchains [63]
- SoK: Shining Light on Shadow Stacks [64]
- SoK: Sanitizing for Security [65]
- SoK: Automated Software Diversity [66]
- SoK: A Systematic Review of Software-Based Web Phishing Detection [67]
- SoK: Applying Machine Learning in Security — A Survey [68]
- SoK: Single Sign-On Security [69]
Первоисточник [70]
Надеемся, вы нашли для себя что-то новое. В следующей части расскажем, что почитать, если вы заинтересовались, например, задачей выполнимости формул в теориях и машинным обучением в сфере безопасности, а ещё подскажем, чьи доклады про jailbreak iOS будут полезны.
Будем рады, если поделитесь в комментариях своими находками или авторским блогом.
Автор: pusa
Источник [71]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/345719
Ссылки в тексте:
[1] NCC Group Infosec: https://twitter.com/NCCGroupInfosec
[2] Gynvael Coldwind: https://twitter.com/gynvael
[3] Null Byte: https://twitter.com/NullByte
[4] HackSmith: https://twitter.com/cn0Xroot
[5] DirectoryRanger: https://twitter.com/DirectoryRanger
[6] Binni Shah: https://twitter.com/binitamshah
[7] [MIS]ter & [MIS]sis Team: https://t.me/mis_team
[8] Кавычка: https://t.me/webpwn
[9] Киберп*eц: https://t.me/cybershit
[10] Утечки информации: https://t.me/dataleak
[11] Админим с Буквой: https://t.me/bykvaadm
[12] linkmeup: https://t.me/linkmeup_podcast
[13] сайт: https://linkmeup.ru/page/about/
[14] Life-Hack [Жизнь-Взлом]/Хакинг: https://t.me/haccking
[15] r0 Crew (Channel): https://t.me/R0_Crew
[16] kabachook / k8s-security: https://github.com/kabachook/k8s-security
[17] Alexis Ahmed / hacker101: https://github.com/AlexisAhmed/hacker101
[18] Hack-with-Github / Awesome-Hacking: https://github.com/Hack-with-Github/Awesome-Hacking
[19] EdOverflow / bugbounty-cheatsheet: https://github.com/EdOverflow/bugbounty-cheatsheet
[20] infosecn1nja / AD-Attack-Defense: https://github.com/infosecn1nja/AD-Attack-Defense
[21] Project Zero: https://googleprojectzero.blogspot.com/
[22] PortSwigger Blog: https://portswigger.net/blog
[23] Firmware Security: https://firmwaresecurity.com/
[24] Active Directory Security: https://identityaccess.management/
[25] Black Hills Information Security: https://www.blackhillsinfosec.com/blog/
[26] Sjoerd Langkemper. Web application security: https://www.sjoerdlangkemper.nl/
[27] Pentester Land: https://pentester.land/
[28] GynvaelEN: https://www.youtube.com/user/GynvaelEN
[29] LiveOverflow: https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w
[30] STÖK: https://www.youtube.com/channel/UCQN2DsjnYH60SFBIA6IkNwg
[31] IppSec: https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA
[32] CQURE Academy: https://www.youtube.com/channel/UCWIEIMHXyJ62RF4aVmU30og
[33] ZeroNights: https://www.youtube.com/channel/UCtQ0fPmP4fCGBkYWMxnjh6A
[34] Black Hat: https://www.youtube.com/channel/UCJ6q9Ie29ajGqKApbLqfBOg
[35] DEFCON: https://www.youtube.com/channel/UC9_QBPq2MmmThH9ftM_v5Fw
[36] Security Fest: https://www.youtube.com/channel/UCByLDp7r7gHGoO7yYMYFeWQ
[37] RUXCON: https://www.youtube.com/channel/UCALgMv0YL4-8T1AGQa6DKZw
[38] OffensiveCon: https://www.youtube.com/channel/UCMNvAtT4ak2azKNk6UlB1QQ
[39] RECON: https://www.youtube.com/user/ekse0x/playlists
[40] SyScan: https://www.youtube.com/channel/UCx5hZiie0VzFvV-u376v7DQ
[41] TROOPERScon: https://www.youtube.com/channel/UCPY5aUREHmbDO4PtR6AYLfQ
[42] Shakacon LLC: https://www.youtube.com/channel/UCIvytJLrQS3x8lTusvTLaOQ
[43] Infiltrate: https://vimeo.com/showcase/5637718
[44] DEFCONConference: https://www.youtube.com/channel/UC6Om9kAkl32dWlDSNlDS9Iw
[45] CCC: https://media.ccc.de/b/congress
[46] Hack In The Box Security Conference: https://www.youtube.com/channel/UC0BJVNTIEbG8CLG-xVVWJnA
[47] Microsoft BlueHat: https://www.youtube.com/channel/UCKmzq2lAhDxLy36KtvVWpaQ
[48] H2HC: https://www.youtube.com/user/h2hconference
[49] EkoParty security conference: https://www.youtube.com/channel/UCiVNwNkoMapaeyr9o6XEonA/featured
[50] BugCrowd: https://www.youtube.com/channel/UCo1NHk_bgbAbDBc4JinrXww
[51] OwaspGlobal: https://www.youtube.com/user/OWASPGLOBAL
[52] NDSS Symposium: https://www.youtube.com/channel/UCL2H6Z8JNydJgOjbmfu7JFg
[53] IEEE Symposium on Security and Privacy: https://www.youtube.com/channel/UC6pXMS7qre9GZW7A7FVM90Q
[54] FOSDEM: https://www.youtube.com/channel/UC9NuJImUbaSNKiwF2bdSfAw
[55] USENIX: https://www.youtube.com/channel/UC4-GrpQBx6WCGwmwozP744Q
[56] USENIX Enigma Conference: https://www.youtube.com/channel/UCIdV7bE97mSPTH1mOi_yUrw
[57] International Symposium on Research in Attacks, Intrusions and Defenses (RAID): https://www.youtube.com/channel/UC0YVOHlesNedC0R5WDWrmXg
[58] The Linux Foundation: https://www.youtube.com/channel/UCfX55Sx5hEFjoC3cNs6mCUQ
[59] LLVM: https://www.youtube.com/channel/UCv2_41bSAa5Y_8BacJUZfjQ
[60] SoK: (State of) The Art of War: Offensive Techniques in Binary Analysis: https://sites.cs.ucsb.edu/~vigna/publications/2016_SP_angrSoK.pdf
[61] SoK: Eternal War in Memory: https://people.eecs.berkeley.edu/~dawnsong/papers/Oakland13-SoK-CR.pdf
[62] SoK: Make JIT-Spray Great Again: https://www.usenix.org/system/files/conference/woot18/woot18-paper-gawlik.pdf
[63] SoK: Consensus in the Age of Blockchains: https://arxiv.org/pdf/1711.03936.pdf
[64] SoK: Shining Light on Shadow Stacks: https://www.youtube.com/watch?v=v5E0gTOAe7Q&list=WL&index=4&t=0s
[65] SoK: Sanitizing for Security: https://oaklandsok.github.io/papers/song2019.pdf
[66] SoK: Automated Software Diversity: https://www.sba-research.org/wp-content/uploads/publications/sp14b.pdf
[67] SoK: A Systematic Review of Software-Based Web Phishing Detection: https://ieeexplore.ieee.org/abstract/document/8036198
[68] SoK: Applying Machine Learning in Security — A Survey: https://arxiv.org/pdf/1611.03186.pdf
[69] SoK: Single Sign-On Security: https://www.ei.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2017/01/30/oidc-security.pdf
[70] Первоисточник: https://dsec.ru/blog/posovetujte-chto-pochitat-chast-1/
[71] Источник: https://habr.com/ru/post/486410/?utm_source=habrahabr&utm_medium=rss&utm_campaign=486410
Нажмите здесь для печати.