Der Kürze halber füge ich nur zwei hinzu:

• OWASP 's moderierter Blog - sie aggregieren hochwertige Beiträge aus vielen verschiedenen Sicherheits-Feeds, hauptsächlich aus der Umgebung neue Angriffe, Vektoren usw.
• Microsofts SDL-Blog, der sich hauptsächlich auf Abhilfemaßnahmen, Schadensbegrenzung, Bedrohungsmodellierung usw. konzentriert und hin und wieder auch eine sehr offene, ehrliche Analyse von entdeckte Sicherheitslücken und die Auswirkungen (oder deren Fehlen) der SDL.
• (Bald hoffe ich, dass http://security.stackexchange.com als Top-Angebot angesehen wird. .. :))

Ich werde einige Ressourcen auflisten, die ich befolge, um über Sicherheitsprobleme auf dem Laufenden zu bleiben:

1. Sicherheitsfokus: Sie werden eine Reihe von Ressourcen finden Informationen auf dieser Website zu Sicherheitslücken und allen möglichen allgemeinen und spezifischen Sicherheitsthemen. Es enthält auch eine Reihe von Mailinglisten, die sich mit verschiedenen Aspekten der Informationssicherheit befassen.
2. Bruce Schneiers Blog: Ich glaube nicht, dass ich erklären muss, wer Bruce Schneier ist, aber wenn Sie nicht von dem Kerl gehört haben, können Sie über ihn lesen hier drüben.
3. Bruce Schneiers Twitter: Bruce hat auch einen Twitter-Account, dem ich folgen sollte.
4. Produkt- / herstellerspezifische Sicherheits-Mailingliste: Jedes große oder kleine Produkt, das sein Geld wert ist, verfügt über eine Sicherheitsliste, mit der Informationen zu sicherheitsrelevanten Problemen mit dem Produkt, die im Laufe der Zeit entdeckt wurden, verfolgt und ausgetauscht werden können. Zum Beispiel habe ich Slackware häufig verwendet und deren Mailingliste mit Sicherheitshinweisen sorgfältig befolgt, um Slackware auf meinem System mit allen Sicherheitskorrekturen auf dem neuesten Stand zu halten.
5. phrack.com: Dieses Magazin enthält zahlreiche Informationen zu Schwachstellen, Exploits, Fehlern und allem anderen, was mit Informations- und Netzwerksicherheit zu tun hat.
ol>

Hier sind einige meiner Lieblingsseiten (ich verwende RSS für alle):

1. Ausführliche Informationen zu Binärzahlen mit einigen aktuellen sicherheitsrelevanten Beiträgen http : //www.exploringbinary.com
2. Das SANS Internet Storm Center für Internet-Sicherheitswarnungen http://isc.sans.edu
li> InfoSec-Nachrichtenliste für konsolidierte Sicherheitsnachrichten http://www.infosecnews.org/
3. SecurityNow-Podcast http://grc.com/securitynow.htm
4. Daily Dave, Mailingliste für technische Sicherheit https://lists.immunitysec.com/mailman/listinfo/dailydave
5. Didier Stevens 'Blog , viele PDF-bezogene Sicherheitspostings http://blog.didierstevens.com
6. Der Blog von F-Secure für weit verbreitete Malware-Warnungen http: //www.f -secure.com/weblog
7. lcamtufs Blog für technische Sicherheitspostings http://lcamtuf.blogspot.com/
8. TaoSecurity, konzentrierte sich auf die Überwachung der Netzwerksicherheit http://taosecurity.blogspot.com/
9. Ksplices Blog, mehr über Software und d Linux, aber mit einer Sicherheitsvariante http://blog.ksplice.com

Ich finde es sehr lehrreich, diesen Blog zu lesen. Der Autor nimmt Schwachstellenankündigungen entgegen, normalerweise im Linux-Kernel, aber auch in anderen Open Source-Projekten, und zeigt:

• den anfälligen Code
• , was das Problem ist
• der Patch

Warum hat niemand Exploit-DB erwähnt?

** Bearbeiten:

Ich würde jedem dieses Projekt wärmstens empfehlen: pentest- Lesezeichen. Persönlich habe ich viele nützliche Informationen gefunden.

http://packetstormsecurity.org

Wie hat noch niemand Krebs erwähnt? Er ist einer der bekanntesten und zuverlässigsten Sicherheitsjournalisten.

KrebsOnSecurity

Ich würde mehr posten, aber das OP fragte nur nach einem pro Post (was offensichtlich einige Leute vernachlässigten zu lesen).

2600

eine amerikanische Veröffentlichung, die sich auf die Veröffentlichung technischer Informationen zu einer Vielzahl von Themen spezialisiert hat, darunter Telefonvermittlungssysteme, Internetprotokolle und -dienste sowie allgemeine Nachrichten zum Computer "Untergrund" und linker Flügel und manchmal (aber nicht in letzter Zeit) anarchistische Probleme.

lightbluetouchpaper.org - der Blog der Sicherheitsgruppe am Computerlabor der Universität Cambridge - bietet unter anderem Berichterstattung über neu auftretende rechtliche Probleme in Großbritannien, aber nicht unbedingt unmittelbaren praktischen Nutzen für Programmierer

Nate Lawsons Blog bietet einige wirklich nützliche praktische Informationen zu Sicherheitslücken und Schadensbegrenzung auf Codeebene. Er war Mitentwickler der BD + -Krypto für BluRay und hat auf der RSA, BlackHat und Google Tech Talk vorgestellt.

DefCon

Ursprünglich 1993 gegründet, war es eine Party für Mitglieder von "Platinum Net", einem auf dem Fido-Protokoll basierenden Hacking-Netzwerk aus Kanada. Als wichtigster Hub in den USA half ich dem Organisator von Platinum Net (ich vergesse seinen Namen) bei der Planung einer Abschlussparty für alle BBS-Systeme der Mitglieder und deren Benutzer. Er wollte das Netzwerk schließen, als sein Vater einen neuen Job annahm und wegziehen musste. Wir reden darüber, wo wir es halten könnten, als er plötzlich früh ging und verschwand. Ich plante gerade eine Party für ein Netzwerk, das außer meinen US-Knoten heruntergefahren wurde. Ich habe entschieden, was zum Teufel, ich werde die Mitglieder aller anderen Netzwerke einladen, zu denen mein BBS-System (A Dark Tangent System) gehört, einschließlich Cyber ​​Crime International (CCI), Hit Net, Tired of Protection (ToP) und dergleichen 8 andere, an die ich mich nicht erinnern kann. Warum nicht alle auf #hack einladen? Gute Idee!

Für sehr technische Dinge ist es eine großartige Ressource, mit der Forschungsliteratur Schritt zu halten. Ich folge den Kryptografie- und Software-Engineering-Feeds des Pre-Print-Servers (arxiv.org). Ich lese sicherlich nicht jede Zeitung, aber es ist nützlich zu sehen, was die Wissenschaft vorhat, um mit den Abstracts und dem Tauchgang Schritt zu halten in das interessante oder relevante Material.

Open Source Software &-Tools, die Entwicklern helfen, die sich für den Sicherheitsbereich interessieren:

http://fuzzdb.googlecode.com

Haacked ist eine großartige Ressource für Webentwickler auf dem Microsoft-Stack.

Least Privilege ist eine weitere großartige Ressource, die auf Authentifizierung, Identität und Verbund ausgerichtet ist mit Microsoft-Technologien.

Ich habe http://rootsecure.net schon eine Weile gelesen, nur ein Konglomerat täglicher Sicherheitslinks, obwohl der Webmaster den Artikelveröffentlichungsprozess gerade in den Händen der Community gelassen hat.

Ich kann die HNN-Besetzung von SpaceRogue nur empfehlen.

http://www.hackernews.com

Es handelt sich um eine wöchentliche Video-Besetzung, die das Thema abrundet Top-Storys der vergangenen Woche sowie Erwähnung neuer sicherheitsrelevanter Tools und Updates.

Holen Sie sich ein Twitter-Konto, damit Sie gängigen Sicherheitsforschungen / Hackern in der Community folgen können. Suchen Sie nach aktuellen Hacker-Konferenzen, nach neuartigen Präsentationen und suchen Sie den Twitter-Account des Moderators. Wenn sie persönliche Informationen im Microblog veröffentlichen, folgen Sie ihnen nicht, aber behalten Sie sie, wenn sie Nachrichten retweeten. Schauen Sie sich die Empfehlungen von Twitter und die Personen an, denen sie folgen, und setzen Sie den Prozess fort. Am Ende erhalten Sie einen ziemlich beeindruckenden, von Experten geprüften Newsfeed.

Versuchen Sie auch, in IRC-Supportkanälen für verschiedene sicherheitsrelevante Open Source-Projekte abzuhängen. Ich habe viel gelernt, indem ich nur in #metasploit rumgehangen habe, um ehrlich zu sein.

SecDocs von lonerunners.net

Schöne Website, besteht aus täglich aktualisierten Papieren, Folien, Audios und Videos von Sicherheitskonferenzen. Ziemlich große Datenbank mit Sicherheitsinformationen.

• Offensiv-Sicherheitsschulungsabschnitte

• ​​ Exploit-DB für die neuesten Exploits und Papiere

• SecurityTube für Videos, Tutorials und mehr

https://www.reddit.com/r/netsec/wiki/meetups/citysec Dies sind die ultimativen Ressourcen, die Sie im Infosec-Feld Zeitraum p finden >

https://www.reddit.com/r/netsec/wiki/start