it-swarm-eu.dev

Jaké bezpečnostní prostředky by měl vývojář bílé čepice * sledovat v těchto dnech?

Které weby, účty Twitter, software FOSS by měl v těchto dnech následovat white-hat kód 'hacker'?

Zahrnout:

  • Pozdní informace o nových bezpečnostních problémech (RSS, Twitter atd.)
  • Web, který sleduje nespojené bezpečnostní problémy na dodavatele
  • Účty Twitter, blogy atd. Od známých lidí ve světě informační bezpečnosti.
    • Kdo jsou tito lidé?
    • K čemu jsou známí?
  • Komunity, které zveřejňují informace týkající se vykořisťování nulového dne
    • Blogy, Twitter, konference, chatovací místnosti (irc)
  • Odborný pracovník, který poskytuje aktuální informace o kryptologii (algoritmus, délka klíče atd.) A aktuální informace o tom, jak je každý z nich bezpečný
  • Open Source Software a nástroje, které pomáhají vývojářům se zájmem o bezpečnostní prostor
  • Informace týkající se zákonů a zákonů, které se týkají počítačového hackingu v USA a zahraničí (nejlépe v jazyce, kterému by programátor rozuměl).
    • Pravděpodobně by zahrnoval zákon CAN-SPAM a právní předpisy o ochraně osobních údajů jednotlivých států
  • Web, který publikuje vyčerpávající seznam technik a permutací XSS; a doufejme, že kód, který můžete použít k ochraně sebe

NEZAHRNUJTE:

  • Pokyny společné pro skupiny na podporu infrastruktury a sítí
    • Výjimkou by byl poslední bezpečnostní problém ASP.NET.
    • Jakýkoli seznam nebo oznámení, které se nezaměřuje na kód nebo programování.
  • Software a nástroje, které nejsou open source
  • Kontrolní seznamy nasazení (zejména pokud k němu není přidružen žádný kód)
  • Obecná fóra a diskusní seznamy, pokud nejsou důvěrně známé a důvěryhodné komunitou pro bezpečnost

Protože čtenáři pravděpodobně nejsou odborníky ve všech těchto oblastech, dejte nám prosím vědět něco o každém odkazu a nevytvářejte „skládku“ odkazů. Snažte se vážně nezveřejňovat duplicitní odkazy.

Protože se jedná o "zabezpečení" .stackexchange.com, doufám, že dostanu rozmanitější škálu odpovědí než typické stránky sysadmin. Podle mých zkušeností se sysadminové vyhýbají kódu a vývojáři se opravdu nebojí, pokud jde o drát.

76
goodguys_activate

Pro stručnost přidám pouze dvě:

  • Moderovaný blog [~ # ~] owasp [~ # ~] - agreguje kvalitní příspěvky z mnoha různých zdrojů zabezpečení, většinou kolem nových útoků , vektory atd.
  • Microsoft SDL blog , zaměřující se převážně na nápravné strategie, zmírňování, modelování hrozeb atd., A také jednou za čas velmi otevřenou, čestnou analýzu zjištěných bezpečnostních nedostatků a účinek (nebo jeho nedostatek) SDL.
  • (Brzy doufám, že http://security.stackexchange.com bude považováno za nejlepší nabídku ... :))
33
AviD

seznamuji několik zdrojů, které sleduji, abych byl informován o bezpečnostních otázkách:

  1. Zaměření na zabezpečení : Na této webové stránce najdete spoustu informací o zranitelnostech a nejrůznějších obecných i konkrétních tématech souvisejících s bezpečností. hostí také řadu e-mailových konferencí zabývajících se různými aspekty informační bezpečnosti.
  2. Blog Bruce Schneiera : Nemyslím si, že musím vysvětlit, kdo je Bruce Schneier, ale pokud jste o tom chlapi neslyšeli, můžete si přečíst o ho tady .
  3. Bruce Schneier's Twitter : Bruce má také účet Twitter, který je podle mě hoden sledovat.
  4. mailing list pro konkrétní produkt/prodejce: každý velký nebo malý produkt, který stojí za svou sůl, má seznam zabezpečení, který se používá ke sledování a sdílení informací o problémech souvisejících s bezpečností produktu, které se objevují v průběhu času. například jsem používal těžce slackware a pilně jsem sledoval jejich seznamy bezpečnostních doporučení, abych udržel slackware v mém systému aktuální a všechny bezpečnostní opravy.
  5. phrack.com : tento časopis obsahuje řadu informací o zranitelnostech, zneužití, chybách a všem ostatním, které mají co do činění s informacemi a zabezpečením sítě.
20
ayaz

Zde jsou některé z mých oblíbených webů, které je třeba sledovat (pro všechny je používám RSS):

  1. Podrobně o binárních číslech, s některými nedávnými příspěvky týkajícími se bezpečnosti http://www.exploringbinary.com
  2. Centrum SANS Internet Storm pro upozornění na zabezpečení internetu http://isc.sans.ed
  3. Seznam zpráv InfoSec pro konsolidované bezpečnostní zprávy http://www.infosecnews.org/
  4. SecurityNow podcast http://grc.com/securitynow.htm
  5. Daily Dave, mailing list technické bezpečnosti https://lists.immunitysec.com/mailman/listinfo/dailydave
  6. Blog Didiera Stevense, spousta bezpečnostních příspěvků souvisejících s PDF http://blog.didierstevens.com
  7. Blog společnosti F-Secure pro rozsáhlá upozornění na malware http://www.f-secure.com/weblog
  8. blog lcamtuf pro technické bezpečnostní příspěvky http://lcamtuf.blogspot.com/
  9. TaoSecurity, zaměřené na monitorování zabezpečení sítě http://taosecurity.blogspot.com/
  10. Blog společnosti Ksplice, více o softwaru a Linuxu, ale s bezpečnostní příchutí http://blog.ksplice.com
15
Eugene Kogan

Je pro mě velmi poučné číst tento blog . Autor přijímá oznámení o zranitelnosti, obvykle v linuxovém jádře, ale také v jiných open source projektech, a ukazuje:

  • zranitelný kód
  • co je problém
  • náplast
8
user185

Proč nikdo nezmínil Exploit-DB ?

**Upravit:

Velmi bych všem doporučil tento projekt: pentest-bookmark . Osobně jsem našel spoustu užitečných informací.

7
Tornike
7
Orca

Jak ještě nikdo nezmínil Krebse? Je jedním z nejznámějších a nejspolehlivějších novinářů v oblasti bezpečnosti.

KrebsOnSecurity

Zveřejnil bych další příspěvek, ale OP požadoval pouze jeden na příspěvek (což evidentně někteří lidé zanedbali přečíst).

7
mrnap

26

americká publikace, která se specializuje na publikování technických informací o různých předmětech, včetně telefonních přepínacích systémů, internetových protokolů a služeb, jakož i obecných zpráv týkajících se počítače „underground“ a levého křídla a někdy (ale ne nedávno) anarchistických otázek.

6
Everett

lightbluetouchpaper.org - blog Bezpečnostní skupiny Univerzity v Cambridge Computer Laboratory - poskytuje mimo jiné zajímavé informace o vznikajících právních otázkách ve Velké Británii, ale ne nutně okamžitou praktickou výhodu pro kodéry.

Blog Nate Lawson poskytuje některé opravdu pěkné praktické chyby zabezpečení a zmírňování na úrovni kódu. Spoluvytvořil krypto BD + pro BluRay a představil na RSA, BlackHat a Google Tech Talk.

5
Bell

DefCon

Původně byl zahájen v roce 1993 a měl být stranou pro člena "Platinum Net", hackerské sítě založené na protokolu Fido z Kanady. Jako hlavní americký uzel jsem pomáhal organizátorovi Platinum Net (zapomněl jsem na jeho jméno) naplánovat závěrečnou párty pro všechny členské systémy BBS a jejich uživatele. Chystal se vypnout síť, když jeho otec vzal novou práci a musel se odjet. Mluvíme o tom, kde bychom ho mohli držet, když najednou odešel brzy a zmizel. Jen jsem plánoval párty pro síť, která byla vypnuta, s výjimkou mých amerických uzlů. Rozhodl jsem se, k čertu, pozvu členy všech ostatních sítí, můj systém BBS (Dark Tangent System) byl součástí zahrnutí Cyber ​​Crime International (CCI), Hit Net, Unavený z ochrany (ToP) a podobně 8 dalších si nepamatuji. Proč nepozvat všechny na # hack? Dobrý nápad!

4
Everett

Pro velmi technické věci je skvělým zdrojem udržování kroku s výzkumnou literaturou. Sleduji zdroje kryptografie a softwarového inženýrství předtiskového serveru (arxiv.org), určitě nečtu každý dokument, ale je užitečné zjistit, s čím akademická sféra přichází, udržet krok s abstraktem a ponořit se do zajímavého nebo relevantního materiálu.

3
user185

Open Source Software a nástroje, které pomáhají vývojářům se zájmem o bezpečnostní prostor:

http://fuzzdb.googlecode.com

2
user1569

Pořiďte si účet Twitter, abyste mohli sledovat populární bezpečnostní průzkumy/hackery v komunitě. Vyhledejte nedávné konference hackerů a hledejte nové prezentace a honte účet účastníka na Twitteru. Pokud mikroblogové osobní informace nesledují, zachovejte je, pokud budou přehrávat zprávy. Podívejte se na doporučení Twitteru a na lidi, které sledují, a pokračujte v procesu. Skončíte s docela úžasným recenzovaným zpravodajským kanálem.

Zkuste také zavěsit v IRC podpůrných kanálech pro různé open source projekty související s bezpečností. Hodně jsem se naučil od pouhého zavěšení v # metasploit, abych byl upřímný.

1
chao-mu

SecDocs z lonerunners.net

Pěkný web, skládá se z denně aktualizovaných dokumentů, diapozitivů, audia, videí z bezpečnostních konferencí. Docela obrovská databáze bezpečnostních informací.

1
p____h

Četl jsem http://rootsecure.net na chvíli, jen konglomerace denních bezpečnostních odkazů, ačkoli webmaster právě nechal proces zveřejňování článku v rukou komunity.

1
Orbit

Haacked je skvělý zdroj pro vývojáře webu v zásobníku Microsoft

Least Privilege je další skvělý program zaměřený na autentizaci, identitu a federaci pomocí technologií společnosti Microsoft.

1

Velmi doporučuji HNN Cast společnosti SpaceRogue

http://www.hackernews.com

Jedná se o týdenní video obsazení, které zaokrouhlí nahoru hlavní příběhy z minulého týdne a zmiňuje nové nástroje a aktualizace týkající se zabezpečení.

1
Casey
0
kiran

https://www.reddit.com/r/netsec/wiki/meetups/citysec Toto je ULtimate Resouces, které budete najít v poli infosec období

https://www.reddit.com/r/netsec/wiki/start

0
Ankush_nl