网站 | 简介 |
---|---|
OWASP | 开放Web应用安全项目- Open Web Application Security Project是一个开放社群、非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。 |
云安全联盟 | 云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。 |
工具 | 介绍 |
---|---|
Fortify | 静态代码安全扫描工具 |
Checkmarx | 静态代码安全扫描工具 |
OWASP Dependency Check | 第三方依赖安全扫描工具 |
Victims | 第三方依赖扫描工具 |
SQLMAP | SQL注入扫描工具 |
Acunetix | Web系统漏洞扫描工具 |
OWASP ZAP | Web系统漏洞扫描工具 |
Burp Suite | Web系统漏洞扫描工具 |
N-Stalker | Web系统漏洞扫描工具 |
Nmap | 服务器端口扫描工具 |
Metasploit | 漏洞探索工具 |
Wireshark | 网络包嗅探工具 |
THC Hydra | 密码破解工具 |
Aircrack-ng | 密码破解工具 |
John The Ripper | 密码破解工具 |
网站 | 介绍 |
---|---|
美国国家安全漏洞库 | NVD是美国政府使用SCAP(Security Content Automation Protocol )管理的一个标准的安全漏洞数据库。NVD包含了安全检查清单,软件的安全漏洞,错误配置,产品名字和影响度量等。 |
乌云(关闭) | 乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,其提供了一个丰富的安全漏洞库。 |
中国国家信息安全漏洞库 | 中国国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security",简称"CNNVD",是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库。 |
书目 | 作者 |
---|---|
The Web Application Hacker's Handbook Second Edition. | Dafydd Stuttard, Marcus Pinto, 2011 |
Fuzzing Brute Force Vulnerability Discovery. | Michael Sutton, Adam Greene, 2007 |
白帽子讲Web安全 | Han Qingwu, 2014 |
iOS Hacker's Handbook | Charlie Miller, Dion Blazakis, 2012 |
Android Hacker's Handbook | Joshua J. Drake、 Zach Lanier, 2014 |
Threat Modeling | Adam Shostack, 2014 |
OWASP Code Review | OWASP Foundation, 2009 |
OWASP Testing Guide | OWASP Foundation, 2009 |
Software Assurance Maturity Model(SAMM) | OpenSAMM Project, 2009 |
Automated Threat Handbook. | OWASP Foundation, 2015 |
Security Development Lifecycle | 微软的提出来的一套软件安全开发流程 |
OWASP Top 10 2013 | OWASP 2013年发布的前10大Web应用程序安全风险 |
OWASP Top 10 Mobile Risks 2014 | OWASP 2014年发布的前10大移动应用安全风险 |
OpenSAMM | 软件保证成熟度模型 |