Frage:
Welchen Sicherheitsressourcen sollte ein White-Hat * Entwickler * heutzutage folgen?
goodguys_activate
2010-11-20 20:16:29 UTC
view on stackexchange narkive permalink

Auf welche Websites, Twitter-Konten und FOSS-Software sollte heutzutage ein White-Hat -Code-Hacker folgen?

Schließen Sie Folgendes ein:

  • Aktuelle Informationen zu neuen Sicherheitsproblemen (RSS, Twitter usw.)
  • Eine Website, auf der nicht gepatchte Sicherheitsprobleme pro Anbieter nachverfolgt werden.
  • Twitter-Konten, Blogs, usw. von bekannten Personen in der Welt der Informationssicherheit.
    • Wer sind diese Personen?
    • Wofür sind sie bekannt?
  • Communities, die Informationen zu Zero-Day-Exploits veröffentlichen
    • Blogs, Twitter, Konferenzen, Chatrooms (irc)
    • Ein Fachexperte, der aktuelle Anleitungen zur Kryptologie (Algorithmus, Schlüssellänge usw.) sowie aktuelle Informationen zur Sicherheit der einzelnen Kryptologien bereitstellt
    • Open Source-Software &-Tools, die Entwicklern helfen, die sich für den Sicherheitsbereich interessieren
    • Informationen zu Rechnungen und Gesetzen, die Computer-Hacking in den USA und im Ausland anwenden (vorzugsweise in einer Sprache, die ein Programmierer verstehen würde)
      • Würde wahrscheinlich das CAN-SPAM-Gesetz und die Datenschutzgesetze pro Bundesstaat beinhalten.
  • Eine Website, die eine vollständige veröffentlicht. starke> Liste von XSS-Techniken und Permutationen; und hoffentlich Code, mit dem Sie sich schützen können.
  • Bitte NICHT einschließen:

    • Anleitung, die unter den Infrastruktur- und Netzwerkunterstützungsgruppen
      • Eine Ausnahme wäre das aktuelle ASP.NET-Sicherheitsproblem.
      • Jede Liste oder Benachrichtigung, die sich nicht auf Code oder Programmierung konzentriert.
    • Software und Tools, die nicht Open Source sind
    • Checklisten für die Bereitstellung (insbesondere wenn kein Code zugeordnet ist)
    • Allgemeine Foren und Diskussionslisten , es sei denn, sie sind der Sicherheitsgemeinschaft bekannt und vertrauenswürdig.

    Da die Leser wahrscheinlich kein Experte in all diesen Bereichen sind, teilen Sie uns bitte ein wenig über jeden Link mit und schaffen Sie keine "Müllhalde" für Links. Versuchen Sie ernsthaft, keine doppelten Links zu veröffentlichen.

    Da dies "Sicherheit" ist .stackexchange.com Ich hoffe, dass ich eine breitere Palette von Antworten erhalten kann als die typische Sysadmin-Site. Nach meiner Erfahrung halten sich Systemadministratoren vom Code fern, und Entwickler haben wirklich keine Angst, wenn es um den Draht geht.

    Ich werde nicht versuchen zu erraten, was Sie woanders gelesen haben. Da diese Frage wichtig ist, hoffe ich, dass Sie mich nicht bestrafen (-1), wenn Sie versuchen, hilfreich zu sein.
    @Everett - Vielen Dank, dass Sie dem Geist dieser Frage entsprechen. auch wenn sie nicht die bahnbrechendsten Antworten sind, hoffe ich zu finden;)
    NP. Mein Punkt bei diesen beiden (und dem 2600 PodCast) ist, dass sie konsequent das Neue in der Branche der Öffentlichkeit zugänglich machen. Der Versuch, eine neue "bahnbrechende" Informationsquelle zu finden, ist etwas schwierig. Insbesondere wenn Sie die Bücher lesen, die aktuellen Websites besuchen, den aktualisierten Tweets folgen und zu den aktuellen Konferenzen gehen. Ich würde denken, dass die Leute, die dieses Zeug gemeinfrei haben wollen, keine neue Site / Methode erstellen werden, um Informationen aus einem neuen Sicherheitsvorfall zu erhalten. Ich versuche wirklich nicht, wie ein Dollar zu klingen.
    Ich könnte dies mit EFF, Hope-Konferenz, alten Ausgaben von Blacklisted 411, Listen von Software, die Sie in Büchern über CEH und CISSP finden könnten, Listen von Büchern, die aktuell sind, IRC-Kanälen usw. spammen. Am Ende des Tages keine Von meinen Antworten haben Sie geholfen, weil Sie sie bereits kennen, sie sind irgendwo in der Industrie.
    Neunzehn antworten:
    #1
    +33
    AviD
    2010-11-21 18:50:50 UTC
    view on stackexchange narkive permalink

    Der Kürze halber füge ich nur zwei hinzu:

    • OWASP 's moderierter Blog - sie aggregieren hochwertige Beiträge aus vielen verschiedenen Sicherheits-Feeds, hauptsächlich aus der Umgebung neue Angriffe, Vektoren usw.
    • Microsofts SDL-Blog, der sich hauptsächlich auf Abhilfemaßnahmen, Schadensbegrenzung, Bedrohungsmodellierung usw. konzentriert und hin und wieder auch eine sehr offene, ehrliche Analyse von entdeckte Sicherheitslücken und die Auswirkungen (oder deren Fehlen) der SDL.
    • (Bald hoffe ich, dass http://security.stackexchange.com als Top-Angebot angesehen wird. .. :))
    #2
    +20
    ayaz
    2010-11-21 00:25:09 UTC
    view on stackexchange narkive permalink

    Ich werde einige Ressourcen auflisten, die ich befolge, um über Sicherheitsprobleme auf dem Laufenden zu bleiben:

    1. Sicherheitsfokus: Sie werden eine Reihe von Ressourcen finden Informationen auf dieser Website zu Sicherheitslücken und allen möglichen allgemeinen und spezifischen Sicherheitsthemen. Es enthält auch eine Reihe von Mailinglisten, die sich mit verschiedenen Aspekten der Informationssicherheit befassen.
    2. Bruce Schneiers Blog: Ich glaube nicht, dass ich erklären muss, wer Bruce Schneier ist, aber wenn Sie nicht von dem Kerl gehört haben, können Sie über ihn lesen hier drüben.
    3. Bruce Schneiers Twitter: Bruce hat auch einen Twitter-Account, dem ich folgen sollte.
    4. Produkt- / herstellerspezifische Sicherheits-Mailingliste: Jedes große oder kleine Produkt, das sein Geld wert ist, verfügt über eine Sicherheitsliste, mit der Informationen zu sicherheitsrelevanten Problemen mit dem Produkt, die im Laufe der Zeit entdeckt wurden, verfolgt und ausgetauscht werden können. Zum Beispiel habe ich Slackware häufig verwendet und deren Mailingliste mit Sicherheitshinweisen sorgfältig befolgt, um Slackware auf meinem System mit allen Sicherheitskorrekturen auf dem neuesten Stand zu halten.
    5. phrack.com: Dieses Magazin enthält zahlreiche Informationen zu Schwachstellen, Exploits, Fehlern und allem anderen, was mit Informations- und Netzwerksicherheit zu tun hat.
    6. ol>
    Sehr gute Ressourcen, aber @makerofthings7 * explizit * fragte nach Codierungs- / Anwendungsressourcen.
    -1: Anständige Liste, aber OP sagte ausdrücklich: "Da Leser wahrscheinlich kein Experte in all diesen Bereichen sind, posten Sie bitte eine Site / Ressource pro Post und lassen Sie uns ein wenig darüber wissen." Daher die Ablehnung.
    #3
    +15
    Eugene Kogan
    2011-02-09 23:18:55 UTC
    view on stackexchange narkive permalink

    Hier sind einige meiner Lieblingsseiten (ich verwende RSS für alle):

    1. Ausführliche Informationen zu Binärzahlen mit einigen aktuellen sicherheitsrelevanten Beiträgen http : //www.exploringbinary.com
    2. Das SANS Internet Storm Center für Internet-Sicherheitswarnungen http://isc.sans.edu
    3. li> InfoSec-Nachrichtenliste für konsolidierte Sicherheitsnachrichten http://www.infosecnews.org/
    4. SecurityNow-Podcast http://grc.com/securitynow.htm
    5. Daily Dave, Mailingliste für technische Sicherheit https://lists.immunitysec.com/mailman/listinfo/dailydave
    6. Didier Stevens 'Blog , viele PDF-bezogene Sicherheitspostings http://blog.didierstevens.com
    7. Der Blog von F-Secure für weit verbreitete Malware-Warnungen http: //www.f -secure.com/weblog
    8. lcamtufs Blog für technische Sicherheitspostings http://lcamtuf.blogspot.com/
    9. TaoSecurity, konzentrierte sich auf die Überwachung der Netzwerksicherheit http://taosecurity.blogspot.com/
    10. Ksplices Blog, mehr über Software und d Linux, aber mit einer Sicherheitsvariante http://blog.ksplice.com
    #4
    +8
    user185
    2010-11-20 22:03:28 UTC
    view on stackexchange narkive permalink

    Ich finde es sehr lehrreich, diesen Blog zu lesen. Der Autor nimmt Schwachstellenankündigungen entgegen, normalerweise im Linux-Kernel, aber auch in anderen Open Source-Projekten, und zeigt:

    • den anfälligen Code
    • , was das Problem ist
    • der Patch
    Welcher Blog? Dieser wie in security.stackexchange.com?
    @Everett: danke, ich habe Probleme mit dem Markdown und dem iPad, das in letzter Zeit nicht viel übereinstimmt :(
    #5
    +7
    Tornike
    2011-02-08 01:33:04 UTC
    view on stackexchange narkive permalink

    Warum hat niemand Exploit-DB erwähnt?

    ** Bearbeiten:

    Ich würde jedem dieses Projekt wärmstens empfehlen: pentest- Lesezeichen. Persönlich habe ich viele nützliche Informationen gefunden.

    #7
    +7
    mrnap
    2011-02-28 09:38:17 UTC
    view on stackexchange narkive permalink

    Wie hat noch niemand Krebs erwähnt? Er ist einer der bekanntesten und zuverlässigsten Sicherheitsjournalisten.

    KrebsOnSecurity

    Ich würde mehr posten, aber das OP fragte nur nach einem pro Post (was offensichtlich einige Leute vernachlässigten zu lesen).

    ... aber Sie können gerne weitere Beiträge hinzufügen, damit über sie individuell abgestimmt werden kann. Lassen Sie die besten nach oben sprudeln!
    Oder vielleicht sollte ich den ursprünglichen Beitrag bearbeiten, um zu sagen, dass ich versuchen soll, keine doppelten Links zu veröffentlichen? Ihre Gedanken? Ich möchte sonst keine wertvollen Erkenntnisse verlieren
    @makerofthings Ich denke, wenn Ihr Ziel darin besteht, das Wissen zu maximieren, einen Beitrag mit möglicherweise <= 5 Links zu haben und sicherzustellen, dass es sich nicht um Duplikate handelt, ist dies eine gute Richtlinie. Auf diese Weise sind die Menschen immer noch gezwungen, ihre Top-Ressourcen auszuwählen, aber es begrenzt auch die Übersättigung.
    #8
    +6
    Everett
    2010-11-20 20:38:59 UTC
    view on stackexchange narkive permalink

    2600

    eine amerikanische Veröffentlichung, die sich auf die Veröffentlichung technischer Informationen zu einer Vielzahl von Themen spezialisiert hat, darunter Telefonvermittlungssysteme, Internetprotokolle und -dienste sowie allgemeine Nachrichten zum Computer "Untergrund" und linker Flügel und manchmal (aber nicht in letzter Zeit) anarchistische Probleme.

    Es ist allerdings nicht sehr entwicklerorientiert. Ich lese seit einiger Zeit in den 1990er Jahren und erinnere mich nicht mehr als ein paar Seiten Code. Heutzutage geht es hauptsächlich darum, "was passiert, wenn ich die Tasten an meiner Mikrowelle in dieser Reihenfolge drücke". Ich lese es trotzdem gerne.
    #9
    +5
    Bell
    2011-02-22 03:34:49 UTC
    view on stackexchange narkive permalink

    lightbluetouchpaper.org - der Blog der Sicherheitsgruppe am Computerlabor der Universität Cambridge - bietet unter anderem Berichterstattung über neu auftretende rechtliche Probleme in Großbritannien, aber nicht unbedingt unmittelbaren praktischen Nutzen für Programmierer

    Nate Lawsons Blog bietet einige wirklich nützliche praktische Informationen zu Sicherheitslücken und Schadensbegrenzung auf Codeebene. Er war Mitentwickler der BD + -Krypto für BluRay und hat auf der RSA, BlackHat und Google Tech Talk vorgestellt.

    #10
    +4
    Everett
    2010-11-20 20:44:05 UTC
    view on stackexchange narkive permalink

    DefCon

    Ursprünglich 1993 gegründet, war es eine Party für Mitglieder von "Platinum Net", einem auf dem Fido-Protokoll basierenden Hacking-Netzwerk aus Kanada. Als wichtigster Hub in den USA half ich dem Organisator von Platinum Net (ich vergesse seinen Namen) bei der Planung einer Abschlussparty für alle BBS-Systeme der Mitglieder und deren Benutzer. Er wollte das Netzwerk schließen, als sein Vater einen neuen Job annahm und wegziehen musste. Wir reden darüber, wo wir es halten könnten, als er plötzlich früh ging und verschwand. Ich plante gerade eine Party für ein Netzwerk, das außer meinen US-Knoten heruntergefahren wurde. Ich habe entschieden, was zum Teufel, ich werde die Mitglieder aller anderen Netzwerke einladen, zu denen mein BBS-System (A Dark Tangent System) gehört, einschließlich Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) und dergleichen 8 andere, an die ich mich nicht erinnern kann. Warum nicht alle auf #hack einladen? Gute Idee!

    #11
    +3
    user185
    2011-06-27 18:49:47 UTC
    view on stackexchange narkive permalink

    Für sehr technische Dinge ist es eine großartige Ressource, mit der Forschungsliteratur Schritt zu halten. Ich folge den Kryptografie- und Software-Engineering-Feeds des Pre-Print-Servers (arxiv.org). Ich lese sicherlich nicht jede Zeitung, aber es ist nützlich zu sehen, was die Wissenschaft vorhat, um mit den Abstracts und dem Tauchgang Schritt zu halten in das interessante oder relevante Material.

    #12
    +2
    user1569
    2011-02-28 04:26:00 UTC
    view on stackexchange narkive permalink

    Open Source Software &-Tools, die Entwicklern helfen, die sich für den Sicherheitsbereich interessieren:

    http://fuzzdb.googlecode.com

    #13
    +1
    p____h
    2012-06-07 20:31:17 UTC
    view on stackexchange narkive permalink

    SecDocs von lonerunners.net

    Schöne Website, besteht aus täglich aktualisierten Papieren, Folien, Audios und Videos von Sicherheitskonferenzen. Ziemlich große Datenbank mit Sicherheitsinformationen.

    #14
    +1
    chao-mu
    2012-06-07 19:22:09 UTC
    view on stackexchange narkive permalink

    Holen Sie sich ein Twitter-Konto, damit Sie gängigen Sicherheitsforschungen / Hackern in der Community folgen können. Suchen Sie nach aktuellen Hacker-Konferenzen, nach neuartigen Präsentationen und suchen Sie den Twitter-Account des Moderators. Wenn sie persönliche Informationen im Microblog veröffentlichen, folgen Sie ihnen nicht, aber behalten Sie sie, wenn sie Nachrichten retweeten. Schauen Sie sich die Empfehlungen von Twitter und die Personen an, denen sie folgen, und setzen Sie den Prozess fort. Am Ende erhalten Sie einen ziemlich beeindruckenden, von Experten geprüften Newsfeed.

    Versuchen Sie auch, in IRC-Supportkanälen für verschiedene sicherheitsrelevante Open Source-Projekte abzuhängen. Ich habe viel gelernt, indem ich nur in #metasploit rumgehangen habe, um ehrlich zu sein.

    #15
    +1
    Orbit
    2011-02-26 02:11:34 UTC
    view on stackexchange narkive permalink

    Ich habe http://rootsecure.net schon eine Weile gelesen, nur ein Konglomerat täglicher Sicherheitslinks, obwohl der Webmaster den Artikelveröffentlichungsprozess gerade in den Händen der Community gelassen hat.

    #16
    +1
    Casey
    2011-02-27 00:06:19 UTC
    view on stackexchange narkive permalink

    Ich kann die HNN-Besetzung von SpaceRogue nur empfehlen.

    http://www.hackernews.com

    Es handelt sich um eine wöchentliche Video-Besetzung, die das Thema abrundet Top-Storys der vergangenen Woche sowie Erwähnung neuer sicherheitsrelevanter Tools und Updates.

    #17
    +1
    goodguys_activate
    2011-02-07 22:19:17 UTC
    view on stackexchange narkive permalink

    Haacked ist eine großartige Ressource für Webentwickler auf dem Microsoft-Stack.

    Least Privilege ist eine weitere großartige Ressource, die auf Authentifizierung, Identität und Verbund ausgerichtet ist mit Microsoft-Technologien.

    #19
      0
    Ankush_nl
    2016-05-08 02:14:22 UTC
    view on stackexchange narkive permalink

    https://www.reddit.com/r/netsec/wiki/meetups/citysec Dies sind die ultimativen Ressourcen, die Sie im Infosec-Feld Zeitraum p finden >

    https://www.reddit.com/r/netsec/wiki/start



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
    Loading...