本鲁菜逼八,平日主要玩CTF的pwn题(但是水准不高QQ努力提升中),然后顺便研究底层
响应板主主题来分享我四处收集来的网站或blog
1.Reddit Netsec:
号称美国ptt的reddit上面的资讯安全讨论版,上面每天都有人分享欧美世界的资安讯息或是技术文连结,不过讨论的话比较少
其他还有什么逆向(ReverseEngineering)、底层(lowlevel)、CTF(securityCTF)、恶意软件(Malware)等等,不过相较小众点
2.邮件列表:
bugtraq、full disclosure、oss-security是我常看得几个邮件列表,里面有些会有技术文、漏洞通报、安全更新等
有个比较特别的是有个google自己的mail list,里面通常会放project zero找到且已经修复或是超过90天的漏洞poc和有问题的code
3.漏洞库:
除了版主提到的exploit-db,还有packetstorm、securityfocus、0day.today(这个还提供交易服务= =)等网站有在收集exploit(有些还有paper),漏洞偶有重叠
4.中国网站:
中国网站原本最好的应该是wooyun,无奈被查封了,不过网络上留有备份可以找找到之前的资料,此外还有版主提到的freebuf、看雪,以及最近发现的嘶吼RoarTalk和Paper(这个比较像收集各知名blog的文章)
5.部落格:
blog 大多可以在reddit netsec的连结找到,paper那边也可以找到中国相关的blog,就不赘述
真的要推的话应该会推google project zero的blog,各种高深技术文
下面我都是放ctf相关,不知道可不可以放......如果不行我会自删
6.CTF:
CTF比赛相关讯息可以在ctftime.org上面看到,少数则会在reddit securityCTF上发布(通常比较冷门),而赛后相关题目和writeup则可以在github.com/ctfs上找到
我下面推荐几个CTF的blog(或是github帐号):
github.com/pwning:世界最强战队的github,里面存了他们的writeup,偶尔会看到大神放上他们的writeup,不过由于他们不会放在ctftime里面,所以github.com/ctfs通常不会收录他们的writeup
angelboy.tw: 台湾一个玩pwn的大神,好像是中央的硕士生? 熟悉linux底层的知识,玩heap玩得登峰造极(呃就我自己的角度来看),然后笔记投影片都满精美的XDD
ddaa.tw: 也是一个CTF的大神,虽然他在blog上很谦虚XDD
bamboofox.github.io: 交大CTF战队的网站,上面有他们社课的影片和一些比赛的writeup
blog.l4ys.tw: 也是台湾CTF大神的blog,专注在逆向和pwn方面
david942j.blogspot.tw: 217大神的blog,主要都是分享pwn相关的writeup和技巧
bruce30262.logdown.com: 印像中是交大的一个大神的,他本人很好心的在pwnable.tw上很多题都放了自己的writeup,我解完后看他的觉得收获良多,同时惭愧自己的exploit好丑QQ
当然还有很多,其实google ctf 题目 writeup,应该就可以找到不少的blog了
7.Youtube channel:
youtube上面也有不少品质优良的影片,下面我列几个对我收获良多的频道:
LiveOverflow:这个老外的影片定期制作一些介绍安全相关的影片,像是基础入门、ctf解题和漏洞分析,最近觉得其实他比较喜欢IoT Hacking。他的影片的优点就是时间不长且发音清楚,还附带字幕
GynvaelEN: 这是Dragon Sector的成员的节目,他固定会在几天开直播跟大家聊聊一些ctf相关技术,不过他的口音我需要认真听才听得懂,然后没有字幕QQ
Pwn系列影片: 这是上学期台交台科中央的Ctf训练课程的pwn相关影片,angelboy主讲,他很好心的把他公开放到youtube上,我目前看到Pwn3,卡在heap的一些机制QQ
winesap: 这是217大神sean之前的教学影片,都是pwn类型,讲的也是非常好(除了语速有点快XDD)。按照难度来分的话应该是:STSC > BinaryDay > ais3
还有些较不重要得我就没列了,其实大一接触资安的时候都把时间花在收集这些东西上,直到大一暑假末办宿营没事做才开始深入研究,现在想起来很是后悔浪费了一年QQ
然后上面有些没附网址,不过我想google一下名称应该找的到吧?如果找不到我会再补上网址
我的分享到这边,交棒给下一位XD