目录导航
当您第一次开始学习某些东西时,可能很难找到高质量的资源来帮助您完成旅程。本文将概述我认为目前学习 hack 的最佳资源(日期查询:2021 年 8 月)。特别是,这些资源将为初学者黑客提供漏洞赏金狩猎或渗透测试的良好基础。现在请记住,那里有很多资源,所以我肯定错过了很多。如果我错过了您认为应该涵盖的任何内容 – 请告诉我!
列表很长,但不要被淹没。您不需要在每个链接上狂欢每一个内容。你将很难经历这一切。我也做不到。相反,旨在定期学习一点。或者,正如 James Clear 所说,“你应该更关心你当前的轨迹而不是你当前的结果。”
名单列表
我不是第一个为初学者创建资源列表的人,也不会是最后一个!您将在下面找到一个列表。每个都是它自己的资源库,类似于这个。
Nahamsec 的“初学者漏洞赏金猎人资源”是一个有组织的学习黑客资源索引。它非常全面且精心策划。完成这一切需要几个月的时间!
Codingo在其网站上的搜索功能索引了大量来自黑客的公共内容。如果您正在寻找有关特定主题或漏洞类别的内容,这将特别有用。
S0cm0nkey 的“安全参考指南”是另一个优秀、精心策划和组织良好的网络安全资源库。
InfosecWriteups是一份中等出版物,其中包含大量与 CTF 和漏洞赏金相关的网络安全相关文章。
实验室
Pentesterlab有一种动手学习黑客的方法。每节课都是一个动手实验,您需要利用一个漏洞来模仿您在实际应用程序中可能看到的内容。它涵盖了从基本到高级的许多不同的错误类。他们有托管的付费产品,或者您可以下载他们的一些更基本的练习作为 ISO。
Portswigger 实验室是一组完全免费的大型 Web 应用程序安全实验室。每个动手实验室还附带一个解决方案和一个“社区解决方案”,通常是来自黑客社区的 YouTube 视频。
Tryhackme是一个网络安全培训平台和竞技黑客游戏。当您注册时,您可以在三个流中进行选择:基本面的预安全、攻击性渗透测试或网络防御。该平台似乎非常全面,包括的实验室不仅仅是针对 Web 应用程序漏洞的实验室,包括缓冲区溢出、活动目录等。
Hackthebox最出名的是作为一个持续的全球竞争性 CTF,但他们也为您能想到的任何/所有主题提供一些非常高质量的培训“轨道”。他们免费提供许多实验室/盒子,但也有不同的高级订阅,允许您破解过期的盒子、不那么拥挤的实验室环境和专业实验室。
Kontra是一个在线平台,提供一系列托管实验室,旨在教授开发人员有关应用程序安全的知识。该平台非常流畅且适合初学者 – 每个实验室都基于故事。它演练了一个似是而非的现实生活中的攻击场景,教学生如何利用漏洞,以及易受攻击的代码是什么样的。
Hacker101.com是一个网络安全在线培训平台,由漏洞赏金平台 Hackerone 创建。它包括一系列受现实世界漏洞启发的 CTF 挑战,以及一系列关于网络黑客所有元素的视频教程。
Vulnhub是一个允许用户上传“挑战箱”的平台,这些“挑战箱”是故意存在漏洞的虚拟机,其目的是通过利用各种漏洞在这些机器上获得 root/系统级别的访问权限。
YouTube 频道
John Hammond有一个非常有趣的频道,涵盖各种主题,包括 CTF 演练、编程教程、采访、暗网、恶意软件分析等等!
Nahamsec每个星期天都会做“侦察星期天”,在那里他直播侦察活动并邀请客人进行采访或黑客攻击。他还主持了“Nahamcon”,这是一个有优秀演讲者的虚拟安全会议。
STÖK制作各种不同的网络安全相关视频,主要与漏洞赏金有关。他采访了一些伟大的黑客并记录了现场黑客事件。他每周发布“漏洞赏金星期四”,概述最新的漏洞赏金新闻。
Farah Hawa擅长处理复杂的主题,并通过将其分解为基础知识以一种您会理解的方式对其进行解释。她描述了不同的漏洞类别、黑客过程和职业。
Codingo创建特定于漏洞赏金的视频,包括有关工具、黑客过程、侦察等的视频。
Liveoverflow在这一点上是网络安全 YouTube 的传奇人物,已经发布了 300 多个关于广泛主题的视频。
PwnFunction还主要关注 Web 应用程序黑客攻击。这些视频的风格非常好,并且解释得很好。
Ippsec几乎专门创建 HackTheBox 挑战箱的演练。每个动作都解释得很好,感觉就像你在旁观专业人士,这是一种很好的学习方式。
InsiderPhD “博士,显然是黑客、网络安全讲师、教育 YouTuber、应用程序安全工程师,并且仍在等待诺贝尔奖一天中的更多时间。” 制作关于黑客、漏洞赏金、机器学习等的精彩视频!
Cyber Mentor (TCM)是一位出色的网络安全教育家,现在经营着自己的学院“ TCM 安全学院”。他以开发出色的网络安全课程而闻名,尤其是在渗透测试方面。
哈克鲁克。我可以推荐自己,对吗?我制作教学视频、漏洞赏金报告解释器、职业和心态视频。
推特账户
我不会对每个 Twitter 帐户进行描述,因为发布的内容每天都会有很大差异。所有这些 Twitter 帐户都发布了出色的网络安全相关内容,其中大多数都对漏洞赏金感兴趣。
- hakluke
- jhaddix
- Nahamsec
- stokfredrik
- fransrosen
- nnwakelam
- samwcyo
- InsiderPhd
- Albinowax
- Codingo_
- sml555_
- zseano
- Farah_Hawaa
- MrTuxracer
- Th3G3nt3lman
- spaceraccoonsec
- erbbysam
- 0xteknogeek
- 0xpatrik
- LiveOverflow
- EdOverflow
- Filedescriptor
- ngalongc
- rhynorater
- Codecancare
- mertistaken
- _jensec
- yaworsk
- thedawgyg
- Regala_
- Tomnomnom
博客和文章
Hackerone Hacktivity在 Hackerone 平台上有无限的公开漏洞流。通读它们是了解人们正在寻找什么样的东西并激发你自己的黑客攻击的好方法。
Crowdstream相当于 Hackerone 的 Hacktivity 的 Bugcrowd。尽管那里披露的报告要少得多,但值得一读!
Pentesterland为初学者提供了大量精心策划的 bug 赏金文章和资源列表。
Inti De Ceukelaire是一位出色的漏洞赏金猎人,也是漏洞赏金平台 Intigriti 的黑客主管。他善于发现影响许多组织的关键系统错误,并撰写出色的文章!
D0nut 的博客是一个混杂的袋子,里面有很多宝石。
Intigriti 的 Medium 出版物充满了很棒的漏洞赏金内容!
Secjuice是一个非营利性出版物,发布有关网络安全的各种文章,包括 CTF 文章、教程、方法论等。
Tomnomnom的博客包含三篇关于烹饪蛋糕、烹饪牛排和调试一个非常小众的窗口管理器中的错误的出色技术文章。事实证明,“中型”鸡蛋的大小差异很大。
我的博客有很多关于漏洞赏金和黑客过程的见解。
还有一些很棒的博客具有更高级的安全研究内容,您可以在下面看到其中的一些!
Detectify Labs发布了大量网络安全研究报告。
Portswigger Research还发布了大量的网络安全研究。
Bishopfox 实验室发布了出色的研究论文和工具。
Discord/论坛
成为社区的一员并找到人们来反驳想法有时真的很有帮助!这里有一堆与黑客相关的 Discord 服务器的邀请。
Bugcrowd 社区不和谐
TryHackMe不和谐
网络导师不和谐
0x00sec论坛
0x00sec不和谐
InsiderPhD Discord
纳哈姆赛克不和谐
HackTheBox不和谐
结论
这真的只是可用于学习黑客的资源的一小部分,但我们需要停下来!希望这将为您的黑客之旅提供一个良好的起点。祝你好运,快乐黑客!
转载请注明出处及链接.