- SDL - 安全开发生命周期 实践与意义
- SDL - API设计规范 CheckList
- NTA - 网络流量分析 抓包实践(wireshark/Tshark)
- NTA - 网络流量分析 IDS/IPS 原理 引擎 规则(suricata)
- web - vul - SQLi 原理 利用方式 修复方案
- web - vul - SSRF 原理 利用方式 修复方案
- web - vul - XSS 原理 利用方式 修复方案
- web - vul - CSRF 原理 利用方式 修复方案
- web - vul - Path Traversal 原理 利用方式 修复方案
- web - vul - Upload 原理 利用方式 修复方案
- web - vul - Deserialization 原理 利用方式 修复方案
- web - vul - Command Injection 原理 利用方式 修复方案
- web - vul - Open Redirection 原理 利用方式 修复方案
- web - vul - Clickjacking 原理 利用方式 修复方案
- web - SQLi sqlmap 常用参数 tamper详解 实际案例
- web - WEB应用安全部署架构 及 WAFbypass
- web - 基础 - 密码学基础及应用(TLS 数字证书) 非对称加密RSA
- web - 基础 - 浏览器的同源策略(SOP) 跨域方案(CORS JSONP) 内容安全策略(CSP)
- web - 基础 - HTTP协议 HTTP/2
- web - 代码审计 - PHP 代码审计 思路 实践 Checklist (find grep) private_update
- web - 整理 - 靶场WebGoat8的搭建 WriteUp
- web - 整理 - 爬虫分类
- web - burp 设置 插件 技巧
- web - burp Intruder的4种攻击方式
- Red - 公网信息搜集 - 搜索引擎(Google/shodan) 代码仓库(Github) Domain IP 历史信息
- Red - APT Phishing - 鱼叉邮件 & 钓鱼网站
- Red - APT Phishing - 鱼叉邮件中的payload载体(office EvilClippy)
- Red - 多维度的免杀 无文件攻击 (对抗 终端安全 流量分析 逆向分析 行为分析)
- Red - 后渗透 - 权限维持 信息搜集 白利用 (ATT&CK backdoor PostExploitation) BypassUAC
- Red - DLL Hijacking 原理 利用方式
- Red - 主机信息搜集+提权 windows
- Red - 主机信息搜集+提权 linux
- Red - 主机信息搜集 应急响应 macOS
- Red - 构建高适应性的C2基础设施
- Red - msfvenom - msf的payload生成器
- Red - 反弹shell的各种方式(使用加密通信对抗检测)
- Red - webshell管理工具与检测方法
- Red - Proxy tools 代理类工具
- Red - 基础 - Windows远控
- sec - 基础 - 字符与编码 格式转换
- sec - 基础 - regex 正则表达式
- sec - 获取最新安全资讯的具体方式(RSS源 mail)
- sec - 企业信息泄露源 监测(github等代码仓库) + 应急处置
- sec - 主机端口扫描 思路及自动化
- bin - pwn linux下的二进制程序pwn
- bin - GDB调试 原理 命令
- net - iptables 网络策略管理
- 笔记 - Docker 命令
- 笔记 - headless Chrome & Puppeteer
- 笔记 - Android应用安全
- 笔记 - blockchain - ETH 智能合约 基本概念
- 笔记 - blockchain - 虚拟币挖矿的各种方式
- 笔记 - 实现各系统的模拟操作
| 项目名称 | 属性 | 描述 |
|---|---|---|
| 1135-CobaltStrike-ToolKit | / | Malleable C2 Files + AggressorScripts |
| solr_exploit | / | Apache Solr远程代码执行漏洞(CVE-2019-0193) Exploit 支持结果回显 |
| EquationExploit | Java C++ | 在Windows下针对网段批量利用永恒之蓝漏洞(MS-17010 EternalBlue) |
| VulSpiderX | node.js | 后台持续运行,获取hackerone最新漏洞,发送邮件给安全人员 |
| VulSpider | python2 | 后台持续运行,获取最新漏洞及每日简报,发送邮件给安全人员 |
| dictionary | txt | 字典收集 包括user/name/pass/web |
| 名称 | 描述 |
|---|---|
| https://ired.team/ | Red Teaming Experiments |
| https://attack.mitre.org/ | ATT&CK™ 真实世界用到的、系统化的网络攻击技术 |
| blackhat-arsenal-tools | 官方仓库 Black Hat Arsenal Security Tools Repository |
| Red-Team-Infrastructure-Wiki | 红队基础设施Wiki(构建稳定C2) |
| infosecn1nja/Red-Teaming-Toolkit | red team tools.(infosecn1nja是Empire的作者) |
| infosecn1nja/AD-Attack-Defense | Active Directory Security For Red & Blue Team |
| Awesome-Red-Teaming | List of Awesome Red Teaming Resources |
| 名称 | 描述 |
|---|---|
| PayloadsAllTheThings | 8k★ 持续更新的好资源 useful payloads and bypass for Web and Pentest |
| Awesome-Hacking | Awesome-Hacking |
| Awesome-Fuzzing | 3k★ fuzzing resources ( Books, courses, videos, tools, tutorials, vulnerable applications). |
| Awesome-Go | 37k★ Awesome-Go |
| Awesome-cryptography | 2k★ 密码学 |
| Awesome-static-analysis | 4k★ 各语言静态分析工具. Static analysis tools for all programming languages |
| Awesome-pentest-cheat-sheets | 1k★ #pentesting |
| Awesome-malware-analysis | 4k★ #流量分析 A curated list of awesome malware analysis tools and resources. |
| the-book-of-secret-knowledge | 34k★ A collection of inspiring lists, manuals, cheatsheets, hacks, one-liners and more. |