All in one

OWASP
OWASP — самый крупный портал по безопасности веба. Собрана информация о всевозможных атаках, векторах, гайдах по пентесту и многое другое. По нему можно сделать отдельную выборку ссылок:

• www.owasp.org/index.php/Top_10_2013-Top_10 — топ 10 атак на веб-приложения в 2013 году
• https://www.owasp.org/index.php/Category:OWASP_Download — загрузки. Обычно по ресурсу сразу проходятся — dir buster’ом
• www.owasp.org/index.php/Web_Application_Penetration_Testing — гайд по пентесту. В виде PDF
• www.owasp.org/index.php/Testing_Checklist — Чеклист (черновик)

 

Эксплойты
Сайты, где собрано множество различных эксплойтов (программ/техник автоматизирующих использование уязвимости)

• exploit-db.com
• 1337day.com
• packetstormsecurity.com
• www.vulnerability-lab.com
• www.rapid7.com/db/modules

 

Форумы

 

• garage4hackers.com
• rdot.org
• antichat.ru

 

Bug Bounty
Многие сайты платят за уязвимости на своих сайтах

• blog.nibblesec.org/2011/10/no-more-free-bugs-initiatives.html — список BugBounty программ
• bugcrowd.com — площадка, где можно выставить свой сайт на пентест (временно) или поучаствовать в таком, получая за каждый баг деньги. Сейчас прошло что-то уже около 30+ таких пентестов.

 

Сборники уязвимостей на сайтах

 

• xssed.com — сборник в основном XSS уязвимостей (самый первый ресурс в этой сфере)
• bugscollector.com — любые уязвимости
• www.vulnerability-lab.com/show.php?cat=website

 

Capture the Flag
Соревнования по безопасности. Задачи участников или решать выданные им задачи, или взламывать & защищать друг друга

• ctftime.org — центральный сайт с расписанием различных CTF в мире, рейтингом команд, врайтапами и т.п.
• pentestit.ru — Лаборатория тестирования на проникновение. Тоже проводит конкурсы в стиле CTF. Кстати, они будут организовывать у нас, на ZeroNights, свою лабораторию. Любые желающие смогут попробовать свои силы в её взломе 🙂

 

Взлом WiFi

 

• www.aircrack-ng.org/doku.php?id=simple_wep_crack — взлом WEP
• www.aircrack-ng.org/doku.php?id=cracking_wpa — взлом WPA/WPA2 (подбор паролей)
• habrahabr.ru/company/xakep/blog/143834 — взлом WiFi через PIN коды
• habrahabr.ru/post/122553 — Подбор паролей к WPA/WPA2 с использованием видеокарты

 

Дистрибутивы
Различные дистрибутивы Linux, уже напичканные разными тулзами для работы в данной сфере

• Kali
• BackTrack
• Pentoo
• WEAKERTHAN
• Backbuntu
• Black Widow

 

Разное / WEB

 

• www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks — создание png файла с php кодом внутри
• pastebin.com/3cznqi8P — создание jpeg картинок с php кодом внутри, которые сохраняют этот php код после функций imagecopyresized() и imagecopyresampled()
• www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf — гайд по пентесту сайтов на Joomla
• Гайд по SQL injection: MySQL, MSSQL, Oracle SQL, PostgreSQL. Microsoft Access SQL, Ingres SQL, SQLite
• raz0r.name

 

Разное / Прикладное ПО

 

• insecure.org/stf/smashstack.html — написание эксплойтов
• redplait.blogspot.ru

 

Разное / Обучение

 

• course.secsem.ru — спецкурс «Современная криптография» и «Безопасность приложений» (факультет ВМК МГУ имени М. В. Ломоносова и компании Яндекс)
• www.securitytube.net — видео-уроки по взлому (практически любая тема)
• oisd.sergeybelove.ru — мои старые занятия х) есть записи на youtube
• www.offensive-security.com/metasploit-unleashed/Msfconsole_Commands — список команд metasploit
• www.agarri.fr/docs/HiP2k13-Burp_Pro_Tips_and_Tricks.pdf — советы и трюки по использованию Burp Pro
• github.com/rapid7/metasploit-framework/wiki/Setting-Up-a-Metasploit-Development-Environment — настройка окружения для MetaSploit
• www.hackthissite.org
• www.dvwa.co.uk

 

Security mailing lists
Рассылка на почту о разных уязвимостях

• www.securityfocus.com/archive
• seclists.org
• www.us-cert.gov/mailing-lists-and-feeds

 

Конференции
Сайты конференций, публикующих презентации / записи докладов своих спикеров. Там бывает столько интересного, что можно неделю на них просидеть.

• www.blackhat.com/html/archives.html
• www.defcon.org/html/links/dc-archives.html
• 2012.zeronights.org/materials & 2011.zeronights.org/materials
• www.hackinparis.com/node/154
• PHDays. 2011 — семинары, мастер-классы, бизнес-семинары; 2012 — все презентации, записи докладов; 2013 — презентации,записи докладов, записи докладов на русском
• www.powerofcommunity.net/archives.html
• archive.hack.lu
• www.nuitduhack.com/en#menu-624
• www.nullcon.net/website/archives/goa-2013.php
• www.derbycon.com/past-conferences
• hacktivity.com
• hackmiami.org/2013/07/08/presentation-archive
• 2013.confidence.org.pl/materials (и года ранее)

Предложения в комментариях (особенно про прикладное ПО) приветствуются!