- SDL - 安全开发生命周期 实践与意义
- SDL - API设计规范 CheckList
- NTA - 网络流量分析 基础 抓包实践(wireshark/Tshark)
- NTA - 网络流量分析 IDS/IPS 原理 引擎 规则(suricata)
- sec - Elasticsearch及Elastic Stack
- web - vul - SQLi 原理 利用方式 修复方案
- web - vul - SSRF 原理 利用方式 修复方案
- web - vul - XSS 原理 利用方式 修复方案
- web - vul - CSRF 原理 利用方式 修复方案
- web - vul - Path Traversal 原理 利用方式 修复方案
- web - vul - Deserialization反序列化 原理 利用方式 修复方案
- web - vul - Open Redirection 原理 利用方式 修复方案
- web - vul - Clickjacking 原理 利用方式 修复方案
- web - SQLi sqlmap常用参数 tamper详解
- web - WEB应用安全部署架构 及 WAFbypass
- web - 基础 - 密码学基础及应用(TLS 数字证书) 非对称加密RSA
- web - 基础 - 浏览器的同源策略 跨域方案 CORS JSONP
- web - 基础 - HTTP协议 HTTP/2
- web - 代码审计 - PHP 代码审计 思路 实践 Checklist (find grep) private_update
- web - 中间件 - 常见问题 修复方案
- web - 整理 - 靶场WebGoat8的搭建 WriteUp
- web - 整理 - 爬虫分类
- web - burp 设置 插件 技巧
- web - burp Intruder的4种攻击方式
- Red - 公网信息搜集 - 搜索引擎(Google语法) 代码仓库(Github高级搜索语法) Domain IP 历史信息
- Red - APT Phishing - 鱼叉邮件 & 钓鱼网站
- Red - APT Phishing - 鱼叉邮件中的payload载体(office EvilClippy)
- Red - 多维度的免杀 无文件攻击 (对抗 终端安全 流量分析 逆向分析 行为分析)
- Red - 后渗透 - 权限维持 信息搜集 白利用 (ATT&CK backdoor PostExploitation) BypassUAC
- Red - DLL Hijacking 原理 利用方式
- Red - 主机信息搜集+提权 windows
- Red - 主机信息搜集+提权 linux
- Red - 主机信息搜集 应急响应 macOS
- Red - 构建高适应性的C2基础设施
- Red - msfvenom - msf的payload生成器
- Red - 反弹shell的各种方式(使用加密通信对抗检测)
- Red - webshell管理工具与检测方法
- Red - Proxy tools 代理类工具
- Red - 基础 - Windows远控
- sec - 基础 - 字符与编码 格式转换
- sec - 基础 - regex 正则表达式
- sec - 获取最新安全资讯的具体方式(RSS源 twiiter mail)
- sec - 企业信息泄露源 监测(github等代码仓库) + 应急处置
- sec - 主机端口扫描 思路及自动化
- sec - 网络空间引擎 EXP搜索引擎 威胁分析引擎
- bin - pwn linux下的二进制程序pwn
- bin - GDB调试 原理 命令
- net - iptables 网络策略管理
- 笔记 - Docker 命令
- 笔记 - Node.js 基础
- 笔记 - headless Chrome & Puppeteer
- 笔记 - Redis
- 笔记 - Android应用安全
- 笔记 - blockchain - ETH 智能合约 基本概念
- 笔记 - blockchain - 虚拟币挖矿的各种方式
- 笔记 - MacOS 好用软件 快捷键 命令 技巧
- 笔记 - 实现各系统的模拟操作
- 笔记 - Machine Learning 机器学习
- Path Traversal to RCE - Atlassian Bitbucket Data Center CVE-2019-3397
| 项目名称 | 属性 | 描述 |
|---|---|---|
| 1135-CobaltStrike-ToolKit | / | CobaltStrike相关:使用Malleable C2 Files定义通信流量实现流量免杀 |
| solr_exploit | / | Apache Solr远程代码执行漏洞(CVE-2019-0193) Exploit 支持结果回显 |
| EquationExploit | Java C++ | 在Windows下针对网段批量利用永恒之蓝漏洞(MS-17010 EternalBlue) |
| VulSpiderX | node.js | 后台持续运行,获取hackerone最新漏洞,发送邮件给安全人员 |
| VulSpider | python2 | 后台持续运行,获取最新漏洞及每日简报,发送邮件给安全人员 |
| dictionary | txt | 字典收集 包括user/name/pass/web |
| 名称 | 描述 |
|---|---|
| https://ired.team/ | Red Teaming Experiments |
| https://attack.mitre.org/ | ATT&CK™ 真实世界用到的、系统化的网络攻击技术 |
| blackhat-arsenal-tools | 官方仓库 Black Hat Arsenal Security Tools Repository |
| Red-Team-Infrastructure-Wiki | 红队基础设施Wiki(构建稳定C2) |
| infosecn1nja/Red-Teaming-Toolkit | red team tools.(infosecn1nja是Empire的作者) |
| infosecn1nja/AD-Attack-Defense | Active Directory Security For Red & Blue Team |
| Awesome-Red-Teaming | List of Awesome Red Teaming Resources |
| 名称 | 描述 |
|---|---|
| PayloadsAllTheThings | 8k★ 持续更新的好资源 useful payloads and bypass for Web and Pentest |
| Awesome-Hacking | Awesome-Hacking |
| Awesome-CheatSheet | 全栈 多语言基本语法 CheatSheet |
| Awesome-Go | 37k★ Awesome-Go |
| Awesome-cryptography | 2k★ 密码学资源 |
| Awesome-crawler | 3k★ 各语言爬虫 web crawler |
| Awesome-static-analysis | 4k★ 各语言静态分析工具Static analysis tools for all programming languages |
| Awesome-pentest-cheat-sheets | 1k★ #pentesting |
| Awesome-malware-analysis | 4k★ #流量分析 A curated list of awesome malware analysis tools and resources. |