aka99/secops

目录

• 基础安全
  • 网络
  • Linux
  • 主机安全
  • 数据库安全
• 开发
  • git
  • HTML/CSS
  • Python
  • Java
  • Java 安全
  • �组件安全
  • IRC Client for Macos
  • 应用安全
  • 社工库：
  • OWASP
• 测试
  • Sonar 测试框架
  • 测试工具
• 威胁情报
  • 安全漏洞信息
  • GitHub 泄露监控系统/工具
  • 漏洞管理
• 移动安全
  • Android 安全
  • OWASP
• 数据安全
• 区块链
  • 超级账本
  • 加密技术
• 书籍/文摘
  • 安全测试

基础安全

网络

IP

• ip2region 准确率99.9%的ip地址定位库，0.0x毫秒级查询，数据库文件大小只有1.5M

Linux

• 运维命令
• 运维命令2

主机安全

驭龙 HIDS 一款由 YSRC 开源的主机入侵检测系统

SSHFS
目的：通过SSH映射远程服务器目录，进行文件扫描 步骤：

• 客户端何服务器安装 sshfs
• 客户端访问 密码认证 sshfs -o allow_other aka77@hd:/home/aka77/ /mnt/hd
• 客户端访问 证书认证 sshfs -o IdentityFile=~/.ssh/id_rsa aka77@jp:/home/aka77/ ~/jp

数据库安全

数据库中间件:

• 美团DBProxy Github 美团点评数据库中间件
• 美团点评的DBProxy实践
• 美团点评数据库中间件DBProxy开源
• Mysql Sniffer

开发

git

• git clone https://github.com/aka99/secops.git --depth=1

HTML/CSS

http://www.ibootstrap.cn/

Python

• 那些有趣/用的 Python 库

爬虫，代理服务:

• https://scrapinghub.com/crawlera/

• 安全行业从业者自研开源工具清单

• 安全平台框架

• XSS跨站平台

• 攻防演练平台

• 巡风系统

Java

• IntelliJ IDEA 简体中文专题教程

• 支付SDK Java

Java 安全

Java 开发安全框架:

• Spring Security
• Apache Shiro

Spring Boot 入门

• 入门教程
• 项目管理利器maven
• Spring入门篇

https://github.com/ChaoZeyi/SpringBootLearning

Spring Security DEMO & Guides

�组件安全

Dependency Check 第三方组件安全检查

./dependency-check.sh --project "Web" -s ~/Downloads/S2-046-PoC-master/

静态扫描：

• https://github.com/scovetta/yasca

IRC Client for Macos

• LimeChat_2.42

应用安全

Android

• BytecodeViewer Java Jar 代码查看，比jd-gui强

安全技能：

• sqlmap 、mitmproxy BeEF

Web安全标准：

• OWASP
• WASC

社工库：

• http://cha.hx99.net
• http://163.donothackme.club/
• 社工库
• 邮箱库
• 163.donothackme.club/
• https://www.70sec.com/

OWASP

Developer How To Guide

• How To Fix SQL Injection
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)

测试

静态扫描：

• JAVA代码审计的一些Tips(附脚本)
• 民生银行源代码安全研究与实践
• 携程安全自动化测试之路

测试社区：

• 测试社区

持续集成：

• 安全自动化扫描测试平台实现

Sonar 测试框架

[SonarSource Rules]

Plugins：

[Dependency Check] [ThreadFix] ：The ThreadFix plugin allows importing results from application security scanning tools, such as AppScan, WebInspect, Fortify, Checkmarx, BurpSuite and many others.

[ZAP]：Parses OWASP ZAP reports and imports results into SonarQube

Slack：Multiple independent plugins (with coincidentally identical plugin keys) exist to send SonarQube notifications to the specified Slack channel.

测试工具

• 开源工具
• Hitchhiker 是一款开源的 Restful Api 测试工具，支持Schedule, 数据对比，压力测试，支持上传脚本定制请求，可以轻松部署到本地，和你的team成员一起管理Api

威胁情报

安全漏洞信息

CNVD：

• 关于开放CNVD漏洞信息批量获取方式的公告

CVSS:

• 漏洞盒子中文CVSS

GitHub 泄露监控系统/工具

• Hawkeye 泄露监控系统
• gitrob Ruby开发，支持通过postgresql数据库
• weakfilescan Python开发，多线程，猪猪侠开发中文注释，个性化定制，需要beautifulsoup4,用于渗透人员在对网站进行网站渗透时查找敏感文件（配置文件、临时文件）、敏感目录，会首先爬取目标站点的三层目录资源，生成目录FUZZ和文件FUZZ
• GitPrey Python开发，国人开发中文支持，用于企业搜索关键词，及时发现潜在的敏感信息，需要登录
• GitMiner Python开发，功能简单

漏洞管理

creditease-sec/insight 洞察-宜信集应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的平台。

移动安全

Android 安全

• Xposed 给微信步数加上翅膀

OWASP

• owasp-mstg The Mobile Security Testing Guide (MSTG)

数据安全

治理：

• 数据安全

区块链

超级账本

中文翻译材料

Fabric / Composer �入门：

• 建模和测试您的区块链网络
• 完善并部署您的区块链网络
• 在本地部署您的区块链网络，与之交互并扩展它

加密技术

Cryptographic Storage Cheat Sheet

• Key exchange: Diffie–Hellman key exchange with minimum 2048 bits
• Message Integrity: HMAC-SHA2
• Message Hash: SHA2 256 bits
• Assymetric encryption: RSA 2048 bits
• Symmetric-key algorithm: AES 128 bits
• Password Hashing: PBKDF2, Scrypt, Bcrypt

书籍/文摘

安全测试

很用心的文章

• 很用心的安全文章收集
• 微步安全分析和情报大会PPT

安全事件

• 黑客的滑铁卢——美国大断网全纪实

《微服务：从设计到部署》中文版