it-swarm-vi.com

Những tài nguyên bảo mật nào nên một nhà phát triển mũ trắng * theo dõi những ngày này?

Những trang web, tài khoản Twitter, phần mềm FOSS nào nên mũ trắng mã 'hacker' theo dõi những ngày này?

Làm Bao gồm:

  • Thông tin vi phạm muộn về các vấn đề bảo mật mới (RSS, Twitter, v.v.)
  • Một trang web theo dõi các vấn đề bảo mật chưa được vá cho mỗi nhà cung cấp
  • Tài khoản Twitter, blog, vv từ những người nổi tiếng trong thế giới bảo mật thông tin.
    • Những người này là ai?
    • Họ được biết đến vì cái gì?
  • Các cộng đồng xuất bản thông tin liên quan đến khai thác ngày không [.__.]
    • Blog, Twitter, hội nghị, phòng trò chuyện (irc)
  • Một chuyên gia về chủ đề cung cấp hướng dẫn cập nhật về Tiền điện tử (thuật toán, độ dài khóa, v.v.) và thông tin cập nhật về mức độ an toàn của từng người
  • Phần mềm & công cụ nguồn mở hỗ trợ các nhà phát triển quan tâm đến không gian bảo mật
  • Thông tin liên quan đến các hóa đơn và luật áp dụng hack máy tính ở Mỹ và nước ngoài (tốt nhất là bằng ngôn ngữ mà một lập trình viên sẽ hiểu).
    • Có thể bao gồm hành động CAN-SPAM và luật riêng tư của mỗi tiểu bang
  • Một trang web xuất bản một danh sách đầy đủ đầy đủ về các kỹ thuật và hoán vị XSS; và hy vọng mã mà bạn có thể sử dụng để bảo vệ chính mình

Xin vui lòng, KHÔNG bao gồm:

  • Hướng dẫn phổ biến trong các nhóm hỗ trợ cơ sở hạ tầng và mạng [.__.]
    • Một ngoại lệ sẽ là vấn đề bảo mật ASP.NET gần đây.
    • Bất kỳ danh sách hoặc thông báo không tập trung vào mã hoặc lập trình.
  • Phần mềm và công cụ không phải là nguồn mở
  • Danh sách kiểm tra triển khai (đặc biệt nếu không có mã liên quan đến nó)
  • Diễn đàn chung và danh sách thảo luận, trừ khi chúng được cộng đồng bảo mật biết đến và tin tưởng

Vì độc giả có thể không phải là chuyên gia trong tất cả các lĩnh vực này, vui lòng cho chúng tôi biết một chút về từng liên kết và không tạo ra "bãi bỏ" các liên kết. Đừng cố gắng hết sức để không đăng các liên kết trùng lặp.

Vì đây là "bảo mật" .stackexchange.com, tôi hy vọng sẽ nhận được nhiều phản hồi đa dạng hơn so với trang web sysadmin điển hình. Theo kinh nghiệm của tôi, các sysadins tránh xa mã và các nhà phát triển thực sự không sợ hãi khi nói đến vấn đề này.

76
goodguys_activate

Để đơn giản, tôi sẽ chỉ thêm hai:

  • OWASP 'blog được kiểm duyệt - họ tổng hợp các bài đăng chất lượng từ nhiều nguồn cấp dữ liệu bảo mật đa dạng, chủ yếu xoay quanh các cuộc tấn công, vectơ mới, v.v.
  • Microsoft blog SDL , chủ yếu tập trung vào các chiến lược khắc phục, giảm thiểu, mô hình hóa mối đe dọa, v.v. và đôi khi phân tích rất trung thực về các lỗ hổng bảo mật được phát hiện và ảnh hưởng (hoặc thiếu) của SDL .
  • (Tôi sẽ sớm hy vọng rằng http://security.stackexchange.com sẽ được coi là ưu đãi hàng đầu ... :))
33
AviD

tôi sẽ liệt kê ra một vài tài nguyên tôi theo dõi để cập nhật các vấn đề bảo mật:

  1. Tập trung bảo mật : bạn sẽ tìm thấy hàng loạt thông tin trên trang web đó về các lỗ hổng và tất cả các loại chủ đề chung và cụ thể liên quan đến bảo mật. nó cũng lưu trữ một loạt các danh sách gửi thư liên quan đến các khía cạnh khác nhau của bảo mật thông tin.
  2. blog của Bruce Schneier : tôi không nghĩ mình cần giải thích Bruce Schneier là ai, nhưng nếu bạn chưa từng nghe về anh chàng này, bạn có thể đọc về anh ta ở đây .
  3. Twitter của Bruce Schneier : Bruce cũng có một tài khoản Twitter mà tôi thấy đáng để theo dõi.
  4. danh sách gửi thư bảo mật cụ thể của sản phẩm/nhà cung cấp: mọi sản phẩm lớn hay nhỏ có giá trị muối đều có một danh sách bảo mật được sử dụng để theo dõi và chia sẻ thông tin về các vấn đề liên quan đến bảo mật với sản phẩm được phát hiện theo thời gian. ví dụ, tôi thường sử dụng slackware rất nhiều và tuân theo danh sách gửi thư tư vấn bảo mật của họ một cách chăm chỉ để giữ cho slackware chạy trên hệ thống của tôi cập nhật với tất cả các bản sửa lỗi bảo mật.
  5. phrack.com : tạp chí này là một thông tin về các lỗ hổng, khai thác, lỗi và mọi thứ khác có liên quan đến bảo mật thông tin và mạng.
20
ayaz

Dưới đây là một số trang web yêu thích của tôi để theo dõi (tôi sử dụng RSS cho tất cả chúng):

  1. Chuyên sâu về số nhị phân, với một số bài đăng liên quan đến bảo mật gần đây http://www.exploringbinary.com
  2. Trung tâm bão Internet Sans, để cảnh báo bảo mật Internet http://isc.sans.ed
  3. Danh sách tin tức Infecec, dành cho tin tức bảo mật tổng hợp http://www.infosecnews.org/
  4. Podcast SecurityNow http://grc.com/securitynow.htmlm
  5. Daily Dave, danh sách gửi thư bảo mật kỹ thuật https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog của Didier Stevens, rất nhiều bài đăng bảo mật liên quan đến PDF http://blog.didierstevens.com
  7. Blog của F-Secure, để cảnh báo phần mềm độc hại lan rộng http://www.f-secure.com/weblog
  8. blog của lcamtuf, dành cho các bài đăng bảo mật kỹ thuật http://lcamtuf.blogspot.com/
  9. TaoSecurity, tập trung vào giám sát an ninh mạng http://taosecurity.blogspot.com/
  10. Blog của Ksplice, nói thêm về phần mềm và Linux, nhưng với hương vị bảo mật http://blog.ksplice.com
15
Eugene Kogan

Tôi thấy rất hữu ích khi đọc blog này . Tác giả nhận các thông báo về lỗ hổng, thường là trong nhân Linux mà còn các dự án nguồn mở khác và hiển thị:

  • mã dễ bị tổn thương
  • vấn đề là gì
  • mảnh vụn
8
user185

Tại sao không ai nhắc đến Khai thác-DB ?

**Biên tập:

Tôi rất muốn giới thiệu cho mọi người dự án này: pentest-bookmark . Cá nhân tôi tìm thấy rất nhiều thông tin hữu ích.

7
Tornike
7
Orca

Làm thế nào chưa có ai nhắc đến Krebs? Ông là một trong những nhà báo an ninh nổi tiếng và đáng tin cậy nhất hiện có.

KrebsOnSecurance

Tôi sẽ đăng nhiều hơn, nhưng OP chỉ yêu cầu một bài cho mỗi bài (rõ ràng là một số người bỏ bê đọc).

7
mrnap

26

một ấn phẩm của Mỹ chuyên xuất bản thông tin kỹ thuật về nhiều chủ đề bao gồm hệ thống chuyển mạch điện thoại, giao thức và dịch vụ Internet, cũng như tin tức chung liên quan đến máy tính "ngầm" và cánh trái, và đôi khi (nhưng không phải gần đây), các vấn đề vô chính phủ.

6
Everett

lightbluetouchapers.org - blog của Nhóm Bảo mật tại Phòng thí nghiệm Máy tính của Đại học Cambridge - cung cấp bảo hiểm về các vấn đề pháp lý mới nổi ở Anh trong số các lợi ích khác nhưng không nhất thiết là lợi ích thiết thực ngay lập tức cho các lập trình viên.

blog của Nate Lawson cung cấp một số lỗ hổng thực tế và giảm thiểu thực tế ở cấp độ mã. Ông đã hợp tác phát triển tiền điện tử BD + cho BluRay và đã trình bày tại RSA, BlackHat và Google Tech Talk.

5
Bell

Xác định

Ban đầu được bắt đầu vào năm 1993, đây là một bữa tiệc dành cho thành viên của "Platinum Net", một mạng hack dựa trên giao thức Fido ra khỏi Canada. Là trung tâm chính của Hoa Kỳ, tôi đã giúp nhà tổ chức Platinum Net (tôi quên tên anh ấy) lên kế hoạch cho một bữa tiệc kết thúc cho tất cả các hệ thống BBS thành viên và người dùng của họ. Anh ta sẽ tắt mạng khi cha anh ta nhận một công việc mới và phải chuyển đi. Chúng tôi nói về nơi chúng tôi có thể giữ nó, khi đột nhiên anh ấy rời đi sớm và biến mất. Tôi chỉ đang lên kế hoạch cho một bữa tiệc cho một mạng bị tắt, ngoại trừ các nút ở Hoa Kỳ của tôi. Tôi đã quyết định cái quái gì, tôi sẽ mời các thành viên của tất cả các mạng khác mà hệ thống BBS (A Dark Tangent System) của tôi là một phần của bao gồm Cyber ​​Crime International (CCI), Hit Net, Mệt mỏi của Bảo vệ (ToP), và như 8 người khác tôi không thể nhớ. Tại sao không mời mọi người trên #hack? Ý tưởng tốt!

4
Everett

Đối với rất công cụ kỹ thuật, theo kịp các tài liệu nghiên cứu là một tài nguyên tuyệt vời. Tôi theo dõi các nguồn cấp dữ liệu kỹ thuật phần mềm và mật mã của máy chủ in trước (arxiv.org), tôi chắc chắn không đọc mọi bài báo nhưng thật hữu ích khi xem học viện sắp ra sao, để theo kịp tốc độ tóm tắt và lặn vào các tài liệu thú vị hoặc có liên quan.

3
user185

Phần mềm & công cụ nguồn mở hỗ trợ các nhà phát triển quan tâm đến không gian bảo mật:

http://fuzzdb.googlecode.com

2
user1569

Nhận tài khoản Twitter để bạn có thể theo dõi các nghiên cứu/tin tặc bảo mật phổ biến trong cộng đồng. Tra cứu các hội nghị tin tặc gần đây và tìm kiếm các bài thuyết trình mới và tìm kiếm tài khoản Twitter của người trình bày. Nếu họ microblog thông tin cá nhân, hủy theo dõi, nhưng giữ chúng nếu họ chuyển tiếp tin tức. Nhìn vào các khuyến nghị của Twitter và những người họ theo dõi và tiếp tục quá trình. Bạn kết thúc với một nguồn cấp tin tức đánh giá ngang hàng khá tuyệt vời.

Ngoài ra, hãy thử tham gia IRC kênh hỗ trợ cho các dự án nguồn mở liên quan đến bảo mật khác nhau. Tôi đã học được rất nhiều từ việc chỉ tham gia #metasploit, thành thật mà nói.

1
chao-mu

SecDocs từ lonerunners.net

Trang web đẹp, bao gồm các giấy tờ cập nhật hàng ngày, slide, âm thanh, video từ các hội nghị bảo mật. Cơ sở dữ liệu khá lớn về thông tin bảo mật.

1
p____h

Đã đọc http://rootsecure.net trong một thời gian, chỉ là một tập hợp các liên kết bảo mật hàng ngày, mặc dù quản trị trang web chỉ để lại quá trình đăng bài viết trong tay cộng đồng.

1
Orbit

Haacked là một tài nguyên tuyệt vời cho Nhà phát triển web trên ngăn xếp của Microsoft

Đặc quyền tối thiể là một công cụ tuyệt vời khác hướng đến Xác thực, Nhận dạng và Liên kết với các công nghệ của Microsoft.

1
goodguys_activate

Tôi rất muốn giới thiệu HNN Cast của SpaceRogue

http://www.hackernews.com

Đây là một video diễn viên hàng tuần làm tròn các câu chuyện hàng đầu từ tuần trước cũng như đề cập đến các công cụ và cập nhật liên quan đến bảo mật mới.

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysec Đây là Giải pháp tối ưu bạn sẽ tìm trong giai đoạn infosec

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl