Статья не новая, точнее выжимка в виде списка полезных ресурсов, честно взятая с хабра от ребят из Positive Technologies. Просто в копилку, что бы было под руками.

Форумы и блоги:

  • The SQL Injection Knowledge Base — техники эксплуатации SQL-инъекций и методов обходов WAF.
  • RDot — почти все, что сейчас появляется в мире ИБ, уже когда-то публиковалось на этом форуме.
  • ANTICHAT — комьюнити по безопасности, где обсуждают мировые новости, уязвимости, пентест и много чего еще.
  • CTF.Antichat — сборник задач от участников форума ANTICHAT.
  • WebSec — самые последние новости о веб-уязвимостях.
  • Reverse Engineering — сообщество, посвященное нюансам обратной разработки.
  • CTF TIME — ресурс, где можно узнать практически все о CTF, публикуют анонсы соревнований по практической безопасности, многие из которых открытые и проходят онлайн. После выкладывают разборы заданий, что помогает в обучении.

Что слушать полезного. Подкасты:

  • The Privacy, Security, and OSINT Show — еженедельный подкаст про разведку на основе открытых источников. Слушая его, можно узнать что-то интересное и подтянуть английский.
  • Hack me, если сможешь — подкаст о практической безопасности с самыми интересными выступлениями с форумов Positive Hack Days.  Рассказывают о современных киберугрозах и защите от них. Уже доступны более 30 выпусков.
  • Мимокрокодил — подкаст про информационную безопасность.

Что читать:

  • Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker’s Handbook — на 900 страницах рассматриваются методы удаленного управления, HTML5, кросс-доменные коммуникации, кликджекинг, framebusting (проверка открытых страниц iframe с помощью Javascript), атака на веб-приложения HTTP Parameter Pollution, гибридная атака по словарю и многое другое. Книга на сегодняшний день не самая актуальная, но крайне полезная.

Практика, практика и еще раз практика! Курсы и лабы:

  • Hacker101 — бесплатный кус по веб-безопасности. Много видеоуроков, руководств и других материалов по взлому. Подойдет тем, кто интересуется или уже участвует в программах Bug Bounty.
  • WebSecurityAcademy — бесплатный онлайн-курс по веб-безопасности от создателей Burp Suite.
  • PEN-200 — официальный сертификационный курс OSCP, знакомит с инструментами и методами тестирования на проникновение на практике.
  • Hack The Box — масштабная онлайн-обучающая платформа по кибербезопасности, позволяющая улучшить навыки взлома. На ней практикуются специалисты со всего мира, компании и университеты.
  • Root Me — быстрая, доступная и реалистичная платформа для проверки навыков взлома, много заданий различной степени сложности.

Руководства по тестированию и базы знаний:

  • OWASP Mobile Security Testing Guide — тестинг гайд от OWASP по мобильным приложениям.
  • OWASP Web Security Testing Guide — тестинг гайд от OWASP по веб-приложениям.
  • HowToHunt — туториал и рекомендации по поиску уязвимостей.
  • Pentest Book — полезная база знаний по пентесту, сценариям проникновения и многом другом.
  • HackTricks — база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями.

Telegram-каналы и чаты:

  • Android Guards — русскоязычное сообщество по безопасности Android-устройств и приложений.  Его основатель, автор статей и ведущий стримов Артем Кулаков — теперь в нашей команде. Кстати, у него также есть YouTube-канал — подписывайтесь!
  • Hack3rScr0lls — ведется хакерами для хакеров, есть много красивых схем по тестированию различных сфер безопасности.
  • The Bug Bounty Hunter — все о Bug Bounty.
  • Android Security & Malware — новости ИБ с уклоном в мобильные устройства, пишут о зловредах, ошибках и уязвимостях, утечках данных, Bug Bounty, пентестах.
  • Mobile AppSec World — новости из мира безопасности мобильных приложений, интересные статьи, обзоры инструментов, доклады, митапы, есть русскоязычный чат.
  • Кавычка — о практической безопасности, уязвимостях и атаках на веб-приложения.

Twitter. За кем следить:

Вселенная GitHub:

  • All about Bug Bounty
  • Payloads all the things — список пейлоадов и байпасов для веб-приложений на все случаи хакерской жизни.
  • 31 days of API Security Tips — советы по тестированию API.
  • MindAPI — mind map по тестированию API, бесплатная и открытая для пополнения сообществом.

Блоги по безопасности:

 Держим руку на пульсе — читаем новости:

Где черпаем сведения о хакерских группировках и вредоносном ПО:

Узнаем больше о техниках, которые используют злоумышленники:

Литература:

  • Timo Steffens. Attribution of Advanced Persistent Threats
  • Денис Юричев. Reverse Engineering для начинающих — это не только учебник по реверс-инжинирингу, но и отличный учебник по основам программирования, который подойдет как для изучения глубин C++ и Java, так и для лучшего понимания того, как работает компьютер. Книга выложена в открытый доступ.
  • Katja Hahn. Robust Static Analysis of Portable Executable Malware
  • Крис Касперски.  Искусство дизассемблирования — в книге объяснены способы идентификации конструкций языков высокого уровня таких, как С/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux–отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Книгу можно найти в интернете.
  • Chris Eagle. The IDA Pro Book
  • Michael Sikorski, Andrew Honig. Practical Malware Analysis — рассматриваются безопасная виртуальная среда для анализа вредоносных программ, быстрое извлечение сетевых подписей и индикаторов на основе хоста, ключевые инструменты анализа, такие как IDA Pro, OllyDbg и WinDbg, а также уловки вредоносных программ и многое другое.
  • Bruce Dang, Alexandre Gazet, Elias Bachaalany. Practical Reverse Engineering
  • Pavel Yosifovich, Mark E. Russinovich, David A. Solomon, Alex Ionescu. Windows Internals — это серия книг, посвященных внутреннему устройству и алгоритмам работы основных компонентов операционной системы Microsoft Windows — Windows Server 2008 R2 и Windows 7 — и файловой системы NTFS. В них детально рассмотрены системные механизмы: диспетчеризация ловушек и прерываний, DPC, АРС, LPC, КРС, синхронизация, системные рабочие потоки, глобальные флаги и др. Можно прочитать как в оригинале, так и в переводе.
  • Michael Sutton, Adam Greene, Pedram Amini. Fuzzing: Brute Force Vulnerability Discovery
  • Mario Hewardt, Daniel Pravat. Advanced Windows Debugging
  • 0xAX. Linux insides
  • Michael Graves. Digital Archaeology: The Art and Science of Digital Forensics
  • Gerard Johansen. Digital Forensics and Incident Response
  • Oleg Skulkin, Scar de Courcier. Windows Forensics Cookbook
  • Michael Hale Ligh. The Art of Memory Forensics — более 900 страниц посвящены исследованию оперативной памяти компьютеров. Будет интересна тем, кто увлекается компьютерной криминалистикой.

Что еще почитать:

С чем следует ознакомиться особенно внимательно:

Twitter. За кем следить:

Telegram-каналы и чаты:

  • Malware Research — комьюнити аналитиков вредоносного ПО.
  • r0 Crew — пишут о реверс-инжиниринге, исследовании вредоносного ПО, разработке эксплойтов и пентестах, также есть чат.

Предположительно, что данны список в последующем будет разбит по статьям на категории и будет мной дополняться..

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *