渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的脆弱点,如果有,系统中哪些数据会被窃取。
关于渗透测试
不要将渗透测试等同于简单的漏洞扫描或者安全审计,它还要除此之外的工作。渗透测试有助于寻找非常复杂的攻击向量,找到在开发阶段没能检测出来的漏洞。在遭到入侵之后,也常使用渗透测试,检测攻击者的攻击方法,还原出攻击方法,并阻止与此相同的攻击。
渗透测试是一些安全审计的主要构成部分,包括PCI-DSS规则,它要求对处理或保存支付信息的系统每年进行渗透测试。渗透测试人员会协同使用人工和自动测试,利用大量的工具进行测试。
由于安全世界的动态性,以及黑客的变化性,安全专家需要掌握最新的技术、工具和漏洞利用方法,以及渗透测试技术。应用程序安全是一个新领域,物联网、容器、云等新的安全风险不断出现,渗透测试人员需要不断更新自己的知识。
因此,我们提供13个最有用的渗透测试博客,帮你获取最新知识,激励你的白帽人生。其中一些有好几年的渗透测试历程了。他们都值得你关注和学习。
渗透测试博客和资源排名
这个博客是由一个攻击研究团队维护的,是渗透测试人员最好的信息来源之一,博客上发布了渗透测试技术、发现、新闻等等。该团队在Black Hat上开设了培训课程。
2012年开始活跃,PentestGeek博客致力于分享作者的经验。通过它也可以了解在大公司工作的经验丰富的渗透测试者的每日工作。
1999年从一个IRC频道开始发展壮大,目前是一个定期更新的博客,讨论最新的渗透测试新闻、工具和技术,有30,000多个用户。
Tim Tomes维护的博客,Tim在博客中会详细描述他的研究成果,博客内容覆盖从Linux Shells、DEFCON badge hacking到AppSec hacks。
Marco是一个安全研究者和白帽黑客。他在教育界也很有名气,在数十年的工作经历中担任了各种教授和研究员职位。他的博客是对他的知识的扩展,Macro在博客上记录他发现的一些绝妙的技术。
由Daniel Compton维护,他是有20年的透测试经验的专家,Common Exploits旨在分享Daniel的技术,工具、漏洞利用方面的新闻,以及其它渗透测试领域的内容。
SANS对于应用程序安全方面的人来说是一个非常好的资源。这个博客上可以找到各种渗透测试任务和挑战,用于测试你的能力,也会发布特定的渗透测试工具和技术。
由维护Trails of Bits的团队写的博客,这是一个在攻防领域都很专业的安全公司,这个博客收集了他们分享的知识,帮助企业改进或修复安全问题。
Digininja对渗透测试者来说是一个必须要知道的资源,主要关注Metasploit、Wifi和网络,Digininja是信息安全领域的人必读的网站。
Ethical Hacking LinkedIn Group
最好的获取最新渗透测试新闻的办法是,在你喜欢的社交网站中,加入到一个组里面或者关注渗透测试大牛。Ethical Hacking group是众多社区中的一个,你可以加入并分享你自己的渗透测试资源。
对所有渗透测试相关人员来说是一个非常棒的资源,Ehacking.net是又一个必须加入到书签的网站。
现在,依然有一部分信息安全社区依靠邮件列表获取信息,尽管这看起来有些过时。Nmap Security Scanner人员运营着Seclists.org网站,提供了受欢迎的邮件列表的清单。不管是菜鸟还是渗透测试专家都可以找到适合自己的邮件列表。
如果你在寻找特定类型的工具,你可以在Kitploit网站上找到。这里是渗透测试工具的宝库,把它加入到你的书签吧。