热门关键词:

【资安周报第10期】对资安圈而言,除了“看雪”之外还有其他的学习资源吗?

发布于2018-02-12 14:00:09
发布于2018-02-12 14:00:09,资讯【资安周报第10期】对资安圈而言,除了“看雪”之外还有其他的学习资源吗?,最新消息报道,手机发烧友娱乐新闻

对资安圈的人而言,正在“看雪”除了配合时事梗外,看雪学院更是重要的中国资安学习论坛之一。

图片来源: 

靠北工程师脸书粉丝团

气候变异,台湾在一月中下旬的时候,甚至在平地也出现类似雪的霰,让亚热带的台湾,凭添一份冬季的情怀。不过,在1月24日脸书靠北工程师的粉丝页中,出现了一则语带双关的贴文,“女朋友问我在干嘛?我说,我在看雪http://bbs.pediy.com”

这里的看雪,除了呼应时事看真正的“雪”或“霰”之外,对于资安圈的成员而言,往往会忍不住会心一笑,因为,关键在于这个网址,连过去是一个中国知名的资安加密论坛“看雪学院”,主要是以软件逆向工程分析为主,也提供许多加解密的教学资料,是中国非常重要的资安相关论坛,也累积许多重量级的文章,对于有心钻研资安和加解密领域的工程师,是一个很有价值的宝山。

4位资安专家具名推荐资安学习网站与论坛

不过,随着超长春节假期快要结束,许多人也开始准备上班的心情,我们也特定请4位资安领域的专家们,具名推荐一些他们平常就在浏览的资安学习论坛和网站,有兴趣者,也可以将这些网站纳入网站书签中,作为学习的参考。

首先,第一位具名推荐的是HITCON CTF领队李伦铨,他推荐的网站是CTF导览网站(https://trailofbits.github.io/ctf/),他认为,CTF所需知识博大精深,几乎考验一个人能否涉猎所有电脑知识的能力,从电脑架构到上层密码学、通讯协定分析、软件安全、系统安全机制分析,各类产品实作方式等,而这个网站仅能列出一些工具、领域知识参考,讨论区,方向,但是对于初级者算是给了一些入门说明,但是开枝散叶就得靠学习者自己的努力造化,研究下去则是一条不归路。

第二位具名推荐的则是戴夫寇尔首席执行官,也是HITCON社群场总召翁浩正。他首先推荐的是台湾的网站,除了台湾骇客年会HITCON的官网(http://hitcon.org)还有台湾骇客年会的知识库HITCON KB(http://kb.hitcon.org)以及iThome、资安人等资安新闻网站等;至于国外主要以各种最新资安新闻动态为主,包括:Security Mailing List Archive(http://seclists.org),书签网站reddit的资讯安全(Information Security)分类(http://www.reddit.com/r/netsec/),另外也有资安公司赛门铁克针对客户、开发者等推出的资安技术网站SecurityFocus(http://www.securityfocus.com/)和另外一个资安入口网站PacketStorm Security(http://packetstormsecurity.com/)。

至于在中国,翁浩正推荐的网站则是漏洞通报平台乌云WooYun官方网站(http://www.wooyun.org/)以及针对许多资安漏洞都有专文的乌云WooYun 知识库(http://drops.wooyun.org),以及囊括各种资安技术、工具、新闻、漏洞、技术和网站公开课程的资安论坛网站FreeBuf(http://www.freebuf.com/),但多数为翻译文章,水准参差不齐。他认为,资安人员除了要掌握最新的资安动态外,也必须花时间钻研相关的技术问题,才能够有效提升自我实力。

第三位具名推荐的则是台湾HITCON CTF比赛的参赛选手Jeffxx,因为他本身是CTF比赛选手,在推荐学习资源上,在CTF 相关的网站,包括世界各国的CTF比赛讯息(https://ctftime.org/)和中国CTF比赛讯息(https://time.xctf.org.cn/),所有CTF比赛解题 Writeup整理(https://github.com/ctfs),想知道各个CTF战队排名和比赛近况等,也可以参考CTFtime.org 网站(https://ctftime.org/)的资讯。

台湾也有CTF参赛成员自己的部落格,也蕴藏有丰富的资讯可供参考,除了Jeffxx自己也会抽空在部落格(http://www.jeffxx.com/)分享各种比赛解题心得外,在像是日前在日本SEC CON CTF获得亚军的台大217团队的部落格(http://217.logdown.com/),以及参赛成员atdog部落格(http://atdog.logdown.com/)、Orange的部落格(http://blog.orange.tw/)、Angelboy部落格(http://angelboy.logdown.com/)、Lays / L4ys部落格(http://blog.l4ys.tw/)、ddaa / 0xddaa部落格(http://ddaa.tw/),以及交大CTF团队的部落格(https://bamboofox.torchpad.com/Home)。

国外重量级的CTF参赛团队的网站,也同样是不可以空手而反的宝山,Jeffxx则推荐美国队PPP网站(http://pwning.net/)、波兰队Dragon Sector网站(http://blog.dragonsector.pl/)、中国上海交大组成的团队0ops网站(http://blog.0ops.net/),北京清华大学组成的蓝莲花团队,则有两名成员自己的部落格,包括蓝莲花的ztrix网站(http://blog.ztrix.me/)和蓝莲花maskray的网站(https://maskray.me/blog/)。

另外,综合资讯的网站,Jeffxx推荐Orange自建的网站(http://exp.tw/articles/),会自动爬知名资讯安全相关新闻、讨论和心得等文章;中国则推荐乌云知识库(http://drops.wooyun.org/),可以看到一些神奇的渗透思路或是一些科普文章,至于另外一个中国资安论坛Freebuf网站(http://www.freebuf.com/),他认为偶尔会有不错的原创文章,但大多时候是翻译国外的部落格,水准不一。

身为资安人员,Jeffxx认为,绝对不可以忽略Google专门针对各种零时差漏洞捉虫大队的部落格Project Zero(http://googleprojectzero.blogspot.tw/)资讯,也推荐定期浏览重要资安新闻网站Krebs On Security(http://krebsonsecurity.com/)和网络安全的书签网站Reddit Net Security(https://www.reddit.com/r/netsec),都具有高度的参考价值。

最后一位具名推荐的交大资工所博士生陈仲宽,也是交大CTF战队BambooFox竹狐团队成员,他主要推荐的资安学习网站就是中国看雪学院的软件安全数据库网站(http://www.pediy.com/kssd/),是很完整的资安学习入门网站;其他也包括国外课程网站,像是美国学生资安社群RPISEC推出的漏洞分析学习网站(https://github.com/RPISEC/MBE),而竹狐自己的部落格网站(https://bamboofox.torchpad.com/)以及台大的课程王战(https://csie.ctf.tw/)等,都是台湾很棒的资安学习资源。

感谢上述4位资安研究人员具名推荐私房资安学习网站资源,也期盼透过这样的学习资源分享,能满足一些希望更深入资安领域研究人员的需求。

本周(2/7~2/13)重要资安事件回顾:
※加密技术不到4成源自美国,哈佛院士批美国要加密厂商开政府专用后门不可行

※Gmail自己加密还不够,Google正式启用来信邮件“未加密警告”机制

※资安补破网!白宫拟大增预算、新设联邦资安长职位

※奇虎360等中国企业出资12亿美元,拟买全球近亿Android手机预载的Opera浏览器

※微软修补41项漏洞,包括多项重大安全漏洞

※骇客公布9千名国土安全部及2万名FBI员工资料

※甲骨文紧急修补Windows平台上的Java SE 6、7、8重大漏洞

※Facebook免费网络服务确定在印度遭禁

※响应全球网络安全日,检查账户安全就多送你2GB永久免费Google Drive容量

※企业并购警讯? 报导:德国考虑将掌握资料量多寡列入垄断考量

※相同帐密惹祸! 淘宝2059万笔账号遭测试攻击

  • 赞助商广告