畅谈——大家都有哪些好的安全学习和研究途径

本文作者：i春秋签约作家——夏之冰雪

恩，首先我分享国内top 3的最重要途径：

1. i春秋学院课程，里面有大量的精品课程，值得各阶段的人去学习。 2. i春秋论坛，恩，当你看到这篇帖子时，充分说明这个途径你已经掌握了。 3. i春秋各类qq群，一个人是寂寞的，一群人的学习和分享才会有基情。

除了top3，还有没有其他的途径呢？

对于新人而言，除了将安全领域的知识学扎实，还要尽量多的玩一玩各种安全工具，正所谓玩的6了，自然就会成长。 可以通过很多渗透集成框架，进行深入学习，很多框架或者操作系统集成了多款安全工具。 比如kali，尝试对kali的所有工具做研究，肯定会丰富自己的知识。

再比如，有这么一款工具——PentestBox，是一款Windows平台下预配置的便携式开源渗透测试环境。可以让我们很舒适的在windows下用很多工具，包括：

1. sqlmap 数据库注入检测神器，应该不用介绍了 2. Burp Suite web请求分析及攻击工具 3. Commix 命令注入工具，蛮小巧精致的，一旦发现命令注入，让你非常舒适的“可视化控制”对方。 4. dotdotpwn 模糊遍历网站风险目录，还可以解析* NIX passwd文件提取用户的主文件夹和搜索不同的常见文件的组合。 5. fimap 一款本地及远程的文件包含漏洞检测工具，集成了google语法搜索，对于我们围墙里的孩子，用起来比较尴尬。 6. golismero 开源的Web扫描器，它不但自带不少的安全测试工具，而且还可导入分析市面流行的扫描工具的结果，比如Openvas,Wfuzz, SQLMap, DNS recon等，并自动分析。 7. jSQL 一款Java开发的轻量级远程服务器数据库注入漏洞测试工具。 不过有了sqlmap，这个用处我觉得一般。 8. nikto 网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件CGIs. 9. wpscan wordpress安全检测神器，推荐。 10. 等等 由于集成了很多工具，所以体积有些大，不过也是值得下载的。下载下来不需要安装，所有依赖pentestbox都尽可能装好了，默认情况下，我们只需要解压，就可以开始安全工具测试之旅了。 官网：https://tools.pentestbox.org/ 由于下载可能较大，提供一个百度网盘地址： https://pan.baidu.com/s/1hrLTZzI 再给一个网址： https://linuxsecurity.expert/security-tools/top-100/ 这里面集成了很多出名的安全工具，强烈推荐。 经常关注github上面的安全项目，有些项目作者会持续更新的，这类项目会根据最新的安全漏洞进行持续跟踪和升级，方便我们使用，比如： ssl漏洞自动扫描 https://github.com/hahwul/a2sv 学着自己搜集一些安全咨询网站和blog，进行rss订阅。如果太懒，也可以看看别人的，比如有些人会汇总每日安全动态： https://kevien.github.io/ 大家都有什么好的学习研究途径，有哪些比较好的网址、项目，欢迎提出来。 以上，仅抛砖引大佬们的玉。 2017-08-31 20:38  追加： android安全，有人专门收录整理了详细的资料，包括： android 在线分析大全、动态/静态分析工具集、app漏洞扫描系列、fuzz测试、漏洞汇总等。 地址（强烈推荐）：https://github.com/ashishb/android-security-awesome 而对于php安全，也有很多好用的开源工具值得研究： https://github.com/ezyang/htmlpurifier https://github.com/psecio/iniscan https://github.com/defuse/php-encryption https://github.com/jenssegers/optimus 总之，不要只局限于中文资料，和exe工具，要多看看github，github上面有非常多值得学习的安全工具。 当然，别忘了分享到论坛里哦~