靠北工程師臉書粉絲團
氣候變異,臺灣在一月中下旬的時候,甚至在平地也出現類似雪的霰,讓亞熱帶的臺灣,憑添一份冬季的情懷。不過,在1月24日臉書靠北工程師的粉絲頁中,出現了一則語帶雙關的貼文,「女朋友問我在幹嘛?我說,我在看雪http://bbs.pediy.com」
這裡的看雪,除了呼應時事看真正的「雪」或「霰」之外,對於資安圈的成員而言,往往會忍不住會心一笑,因為,關鍵在於這個網址,連過去是一個中國知名的資安加密論壇「看雪學院」,主要是以軟體逆向工程分析為主,也提供許多加解密的教學資料,是中國非常重要的資安相關論壇,也累積許多重量級的文章,對於有心鑽研資安和加解密領域的工程師,是一個很有價值的寶山。
4位資安專家具名推薦資安學習網站與論壇
不過,隨著超長春節假期快要結束,許多人也開始準備上班的心情,我們也特定請4位資安領域的專家們,具名推薦一些他們平常就在瀏覽的資安學習論壇和網站,有興趣者,也可以將這些網站納入網站書籤中,作為學習的參考。
首先,第一位具名推薦的是HITCON CTF領隊李倫銓,他推薦的網站是CTF導覽網站(https://trailofbits.github.io/ctf/),他認為,CTF所需知識博大精深,幾乎考驗一個人能否涉獵所有電腦知識的能力,從電腦架構到上層密碼學、通訊協定分析、軟體安全、系統安全機制分析,各類產品實作方式等,而這個網站僅能列出一些工具、領域知識參考,討論區,方向,但是對於初級者算是給了一些入門說明,但是開枝散葉就得靠學習者自己的努力造化,研究下去則是一條不歸路。
第二位具名推薦的則是戴夫寇爾執行長,也是HITCON社群場總召翁浩正。他首先推薦的是臺灣的網站,除了臺灣駭客年會HITCON的官網(http://hitcon.org)還有臺灣駭客年會的知識庫HITCON KB(http://kb.hitcon.org)以及iThome、資安人等資安新聞網站等;至於國外主要以各種最新資安新聞動態為主,包括:Security Mailing List Archive(http://seclists.org),書籤網站reddit的資訊安全(Information Security)分類(http://www.reddit.com/r/netsec/),另外也有資安公司賽門鐵克針對客戶、開發者等推出的資安技術網站SecurityFocus(http://www.securityfocus.com/)和另外一個資安入口網站PacketStorm Security(http://packetstormsecurity.com/)。
至於在中國,翁浩正推薦的網站則是漏洞通報平臺烏雲WooYun官方網站(http://www.wooyun.org/)以及針對許多資安漏洞都有專文的烏雲WooYun 知識庫(http://drops.wooyun.org),以及囊括各種資安技術、工具、新聞、漏洞、技術和網站公開課程的資安論壇網站FreeBuf(http://www.freebuf.com/),但多數為翻譯文章,水準參差不齊。他認為,資安人員除了要掌握最新的資安動態外,也必須花時間鑽研相關的技術問題,才能夠有效提升自我實力。
第三位具名推薦的則是臺灣HITCON CTF比賽的參賽選手Jeffxx,因為他本身是CTF比賽選手,在推薦學習資源上,在CTF 相關的網站,包括世界各國的CTF比賽訊息(https://ctftime.org/)和中國CTF比賽訊息(https://time.xctf.org.cn/),所有CTF比賽解題 Writeup整理(https://github.com/ctfs),想知道各個CTF戰隊排名和比賽近況等,也可以參考CTFtime.org 網站(https://ctftime.org/)的資訊。
臺灣也有CTF參賽成員自己的部落格,也蘊藏有豐富的資訊可供參考,除了Jeffxx自己也會抽空在部落格(http://www.jeffxx.com/)分享各種比賽解題心得外,在像是日前在日本SEC CON CTF獲得亞軍的臺大217團隊的部落格(http://217.logdown.com/),以及參賽成員atdog部落格(http://atdog.logdown.com/)、Orange的部落格(http://blog.orange.tw/)、Angelboy部落格(http://angelboy.logdown.com/)、Lays / L4ys部落格(http://blog.l4ys.tw/)、ddaa / 0xddaa部落格(http://ddaa.tw/),以及交大CTF團隊的部落格(https://bamboofox.torchpad.com/Home)。
國外重量級的CTF參賽團隊的網站,也同樣是不可以空手而反的寶山,Jeffxx則推薦美國隊PPP網站(http://pwning.net/)、波蘭隊Dragon Sector網站(http://blog.dragonsector.pl/)、中國上海交大組成的團隊0ops網站(http://blog.0ops.net/),北京清華大學組成的藍蓮花團隊,則有兩名成員自己的部落格,包括藍蓮花的ztrix網站(http://blog.ztrix.me/)和藍蓮花maskray的網站(https://maskray.me/blog/)。
另外,綜合資訊的網站,Jeffxx推薦Orange自建的網站(http://exp.tw/articles/),會自動爬知名資訊安全相關新聞、討論和心得等文章;中國則推薦烏雲知識庫(http://drops.wooyun.org/),可以看到一些神奇的滲透思路或是一些科普文章,至於另外一個中國資安論壇Freebuf網站(http://www.freebuf.com/),他認為偶爾會有不錯的原創文章,但大多時候是翻譯國外的部落格,水準不一。
身為資安人員,Jeffxx認為,絕對不可以忽略Google專門針對各種零時差漏洞捉蟲大隊的部落格Project Zero(http://googleprojectzero.blogspot.tw/)資訊,也推薦定期瀏覽重要資安新聞網站Krebs On Security(http://krebsonsecurity.com/)和網路安全的書籤網站Reddit Net Security(https://www.reddit.com/r/netsec),都具有高度的參考價值。
最後一位具名推薦的交大資工所博士生陳仲寬,也是交大CTF戰隊BambooFox竹狐團隊成員,他主要推薦的資安學習網站就是中國看雪學院的軟體安全資料庫網站(http://www.pediy.com/kssd/),是很完整的資安學習入門網站;其他也包括國外課程網站,像是美國學生資安社群RPISEC推出的漏洞分析學習網站(https://github.com/RPISEC/MBE),而竹狐自己的部落格網站(https://bamboofox.torchpad.com/)以及臺大的課程王戰(https://csie.ctf.tw/)等,都是臺灣很棒的資安學習資源。
感謝上述4位資安研究人員具名推薦私房資安學習網站資源,也期盼透過這樣的學習資源分享,能滿足一些希望更深入資安領域研究人員的需求。
本週(2/7~2/13)重要資安事件回顧:
※加密技術不到4成源自美國,哈佛院士批美國要加密廠商開政府專用後門不可行
※Gmail自己加密還不夠,Google正式啟用來信郵件「未加密警告」機制
※奇虎360等中國企業出資12億美元,擬買全球近億Android手機預載的Opera瀏覽器
※甲骨文緊急修補Windows平台上的Java SE 6、7、8重大漏洞
※響應全球網路安全日,檢查帳戶安全就多送你2GB永久免費Google Drive容量
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19