it-swarm-id.com

Sumber daya keamanan apa yang harus diikuti oleh pengembang white-hat * * hari ini?

Situs apa, akun Twitter, perangkat lunak FOSS yang harus diikuti white-hat 'hacker' hari ini?

Sertakan:

  • Informasi terkini tentang masalah keamanan baru (RSS, Twitter, dll)
  • Situs web yang melacak masalah keamanan yang belum ditonton per vendor
  • Akun Twitter, blog, dll dari orang-orang terkenal di dunia keamanan informasi.
    • Siapakah orang-orang ini?
    • Untuk apa mereka dikenal?
  • Komunitas yang mempublikasikan informasi tentang eksploitasi nol hari
    • Blog, Twitter, konferensi, ruang obrolan (irc)
  • Pakar materi pelajaran yang menyediakan panduan terkini tentang Kriptologi (algoritma, panjang kunci, dll.), Dan informasi terkini tentang seberapa aman masing-masing
  • Perangkat Lunak Sumber Terbuka & alat yang membantu pengembang tertarik pada ruang keamanan
  • Informasi mengenai tagihan dan undang-undang yang menerapkan peretasan komputer di AS dan di luar negeri (lebih disukai dalam bahasa yang dipahami pemrogram).
    • Mungkin akan termasuk tindakan CAN-SPAM, dan undang-undang privasi per-negara
  • Situs yang menerbitkan daftar lengkap teknik dan permutasi XSS; dan semoga kode yang dapat Anda gunakan untuk melindungi diri Anda sendiri

Tolong, JANGAN sertakan:

  • Panduan yang umum di antara infrastruktur dan kelompok pendukung jaringan
    • Pengecualian akan menjadi masalah keamanan ASP.NET baru-baru ini.
    • Daftar atau pemberitahuan apa pun yang tidak fokus pada kode atau pemrograman.
  • Perangkat lunak dan alat yang bukan open source
  • Daftar periksa penerapan (terutama jika tidak ada kode yang terkait dengannya)
  • Forum umum dan daftar diskusi, kecuali mereka dikenal dan dipercaya oleh komunitas keamanan

Karena pembaca mungkin bukan ahli dalam semua bidang ini, beri tahu kami sedikit tentang setiap tautan dan tidak membuat "tempat pembuangan" tautan. Lakukan upaya yang sungguh-sungguh untuk tidak memposting tautan duplikat.

Karena ini adalah "keamanan" .stackexchange.com, saya berharap mendapatkan tanggapan yang lebih beragam daripada situs sysadmin biasa. Dalam pengalaman saya, sysadmin menjauh dari kode, dan pengembang benar-benar tidak takut ketika datang ke kawat.

76

Untuk keringkasan, saya hanya akan menambahkan dua:

  • OWASP blog yang dimoderasi - mereka mengumpulkan posting berkualitas dari banyak feed keamanan yang beragam, kebanyakan di sekitar serangan baru, vektor, dll.
  • Microsoft SDL blog , sebagian besar berfokus pada strategi remediasi, mitigasi, pemodelan ancaman dll, dan juga sesekali analisis yang sangat terbuka dan jujur ​​tentang kelemahan keamanan yang ditemukan dan efek (atau ketiadaan) dari SDL .
  • (Segera saya harap --- http://security.stackexchange.com akan dianggap sebagai penawaran teratas ... :))
33
AviD

saya akan mencantumkan beberapa sumber daya yang saya ikuti untuk mendapatkan informasi terbaru tentang masalah keamanan:

  1. Fokus Keamanan : Anda akan menemukan banyak informasi di situs web itu tentang kerentanan dan segala macam topik umum dan khusus yang terkait dengan keamanan. itu juga menjadi tuan rumah banyak milis berurusan dengan berbagai aspek keamanan informasi.
  2. blog Bruce Schneier : saya rasa saya tidak perlu menjelaskan siapa Bruce Schneier itu, tetapi jika Anda belum pernah mendengar tentang orang itu, Anda dapat membaca tentang dia di sini .
  3. Twitter Bruce Schneier : Bruce juga memiliki akun Twitter yang menurut saya layak untuk diikuti.
  4. mailing list keamanan spesifik produk/vendor: setiap produk besar atau kecil yang bernilai garamnya memiliki daftar keamanan yang digunakan untuk melacak dan berbagi informasi tentang masalah terkait keamanan dengan produk yang ditemukan dari waktu ke waktu. sebagai contoh, saya sering menggunakan slackware dan mengikuti milis penasihat keamanan mereka dengan rajin agar slackware tetap berjalan di sistem saya dengan semua perbaikan keamanan terbaru.
  5. phrack.com : majalah ini adalah sumur informasi tentang kerentanan, eksploitasi, bug, dan segala sesuatu yang berkaitan dengan informasi dan keamanan jaringan.
20
ayaz

Berikut adalah beberapa situs favorit saya untuk diikuti (saya menggunakan RSS untuk semuanya):

  1. Lebih mendalam tentang angka-angka biner, dengan beberapa pos terkait keamanan terbaru http://www.exploringbinary.com
  2. SANS Internet Storm Center, untuk peringatan keamanan Internet http://isc.sans.ed
  3. Daftar Berita InfoSec, untuk berita keamanan gabungan http://www.infosecnews.org/
  4. Podcast SecurityNow http://grc.com/securitynow.htm
  5. Dave Harian, milis keamanan teknis https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog Didier Stevens, banyak pos keamanan terkait PDF http://blog.didierstevens.com
  7. Blog F-Secure, untuk peringatan malware yang tersebar luas http://www.f-secure.com/weblog
  8. blog lcamtuf, untuk pos keamanan teknis http://lcamtuf.blogspot.com/
  9. TaoSecurity, fokus pada pemantauan keamanan jaringan http://taosecurity.blogspot.com/
  10. Blog Ksplice, lebih banyak tentang perangkat lunak dan Linux, tetapi dengan rasa keamanan http://blog.ksplice.com
15
Eugene Kogan

Saya merasa sangat instruktif untuk membaca blog ini . Penulis mengambil pengumuman kerentanan, biasanya di kernel Linux tetapi juga proyek open source lainnya, dan menunjukkan:

  • kode rentan
  • apa masalahnya?
  • tambalan
8
user185

Kenapa tidak ada yang menyebutkan Exploit-DB ?

** Edit:

Saya akan sangat menyarankan semua orang proyek ini: pentest-bookmark . Secara pribadi saya menemukan banyak informasi berguna.

7
Tornike
7
Orca

Bagaimana belum ada yang menyebutkan Krebs? Dia adalah salah satu jurnalis keamanan paling terkenal dan dapat diandalkan di luar sana.

KrebsOnSecurity

Saya akan memposting lebih banyak, tetapi OP hanya meminta satu per posting (yang jelas beberapa orang lalai membaca).

7
mrnap

26

sebuah publikasi Amerika yang berspesialisasi dalam mempublikasikan informasi teknis tentang berbagai subjek termasuk sistem switching telepon, protokol dan layanan Internet, serta berita umum tentang komputer "bawah tanah" dan sayap kiri, dan kadang-kadang (tetapi tidak baru-baru ini), masalah anarkis.

6
Everett

lightbluetouchpaper.org - blog Security Group di University of Cambridge Computer Laboratory - memberikan liputan tentang masalah hukum yang muncul di Inggris di antara potongan-potongan lain yang menarik tetapi tidak serta merta memberikan manfaat praktis langsung bagi para pembuat kode.

blog Nate Lawson memberikan beberapa hal praktis dan mitigasi praktis yang bagus untuk level kode. Dia ikut mengembangkan BD + crypto untuk BluRay dan telah hadir di RSA, BlackHat dan Google Tech Talk.

5
Bell

DefCon

Awalnya dimulai pada tahun 1993, itu dimaksudkan untuk menjadi pesta bagi anggota "Platinum Net", jaringan peretasan berbasis protokol Fido dari Kanada. Sebagai hub utama A.S. saya membantu penyelenggara Platinum Net (saya lupa namanya) merencanakan pesta penutupan untuk semua sistem BBS anggota dan penggunanya. Dia akan mematikan jaringan ketika ayahnya mengambil pekerjaan baru dan harus pindah. Kami berbicara tentang di mana kami mungkin memegangnya, ketika tiba-tiba ia pergi lebih awal dan menghilang. Saya hanya merencanakan pesta untuk jaringan yang dimatikan, kecuali untuk node A.S. saya. Saya memutuskan apa, saya akan mengundang anggota dari semua jaringan lain sistem BBS saya (A Dark Tangent System) adalah bagian dari termasuk Cyber ​​Crime International (CCI), Hit Net, Lelah Perlindungan (ToP), dan seperti 8 lainnya yang saya tidak ingat. Mengapa tidak mengundang semua orang di #hack? Ide bagus!

4
Everett

Untuk sangat hal-hal teknis, mengikuti literatur penelitian adalah sumber yang bagus. Saya mengikuti kriptografi dan umpan rekayasa perangkat lunak dari server pra-cetak (arxiv.org), saya tentu saja tidak membaca setiap makalah, tetapi berguna untuk melihat apa yang muncul dari kalangan akademisi, untuk tetap mengikuti abstrak dan menyelam ke dalam materi yang menarik atau relevan.

3
user185

Perangkat Lunak Sumber Terbuka & alat yang membantu pengembang tertarik pada ruang keamanan:

http://fuzzdb.googlecode.com

2
user1569

Dapatkan akun Twitter sehingga Anda dapat mengikuti penelitian keamanan/peretas populer dalam komunitas. Cari konferensi peretas baru-baru ini dan cari presentasi baru dan cari akun Twitter presenter. Jika mereka microblog info pribadi, berhenti ikuti, tetapi simpan jika mereka me-retweet berita. Lihatlah rekomendasi Twitter dan orang-orang yang mereka ikuti dan lanjutkan prosesnya. Anda berakhir dengan umpan berita peer-review yang cukup luar biasa.

Coba juga nongkrong di IRC saluran dukungan untuk berbagai proyek sumber terbuka terkait keamanan. Saya belajar banyak dari hanya nongkrong di #metasploit, jujur ​​saja.

1
chao-mu

SecDocs dari lonerunners.net

Situs web yang bagus, terdiri dari surat kabar harian yang diperbarui, slide, audio, video dari konferensi keamanan. Basis data informasi keamanan yang sangat besar.

1
p____h

Telah membaca http://rootsecure.net untuk sementara waktu, hanya konglomerasi tautan keamanan harian, meskipun webmaster baru saja meninggalkan proses pengiriman artikel di tangan komunitas.

1
Orbit

Haacked adalah sumber yang bagus untuk Pengembang Web pada tumpukan Microsoft

Least Privilege adalah satu lagi yang bagus untuk Otentikasi, Identitas, dan Federasi dengan teknologi Microsoft.

1

Saya akan sangat menyarankan Cast HNN SpaceRogue

http://www.hackernews.com

Ini adalah pemeran video mingguan yang merangkum berita utama dari minggu sebelumnya serta menyebutkan alat dan pembaruan terkait keamanan baru.

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysec Ini adalah Sumber Daya ULangkalan yang Anda inginkan temukan di Periode bidang infosec

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl