作为一个penetration tester必知必读的好书推荐
0x00 前言
至于书籍推荐这个话题,很多前辈都回答过了,但还是有很多刚入门的小伙伴还是一言不合就问该看书籍,作为一个搞Web安全的菜鸟忠恳告诉你,你第一本该看的书是《提问的智慧》,附上一个脑图:
既然是说Web安全相关的书籍,那么就不扯二进制安全方面,还是希望搞二进制的表哥专门来一份关于二进制安全的书单。在学Web安全前,你可能得先接触编程、协议和Linux等,至于它们的重要性就不用多说了,因为前辈和同行的小伙伴们都已经说地够多了。下面推荐的书籍并不说它们就是最优秀的,因为第一本来就没有最完美的说法,第二因为个人水平有限,视野狭窄,很多优秀有关Web安全书籍没有说到,所以请大家补充(本文所提到的大多都是中文或中文译版),第三任何东西对每个人来说都不一样,最适合自己的才是最好的。另外下面提到的书籍并不是说你一定要读完,惭愧地说我个人也还没有全部读完,你完全可以根据自己的情况选读其中书籍,不过我个人还是推荐读完,因为它们的内容和质量都是受到大家认可和好评的,更何况多读点好书还是有好处的。
另外由于书籍版权问题,所以没有给出PDF链接,不过它们在网上大多都有PDF版本,如有所需,请君自取吧:P 有的给出链接是因为国内安全爱好者翻译的书籍但是在国内并没有正式出版。没给出书评和简介原因是因为网上已经有很多说明了,不想赘述,如若想看随便一搜便是。至于为什么推荐那么多关于Python的书籍呢,除了客观原因之外,主观原因是人生苦短,我用Python(逃ε=ε=ε=┏(゜ロ゜;)┛)。
0x01 书籍
《信息安全标准和法律法规(第二版)》(注:武汉大学出版社)
《HTTP权威指南》
《HTML5权威指南》
《JavaScript权威指南(第6版)》
《TCP/IP详解卷1:协议》
《SQL编程基础(原书第3版)》
《PHP和MySQL Web开发(第四版)》
《PHP安全基础》
《PHP应用程序安全编程》
《高级PHP应用程序漏洞审核技术》
《精通正则表达式 (第3版) 》
《正则指引》
《鸟哥的Linux私房菜 基础学习篇 (第三版) 》
《Linux Shell脚本攻略》
《C Primer Plus(第6版)中文版》
《数据结构(C语言版)》(注:机械工业出版社)
《编译原理:原理、技术与工具》(注:机械工业出版社)
《C++ Primer Plus (第6版) 中文版》
《Python核心编程(第二版)》
《Python黑帽子:黑客与渗透测试编程之道》
《Python绝技:运用Python成为顶级黑客》
《精通黑客脚本》
《XSS跨站脚本攻击剖析与防御》
《XSS Filter Evasion Cheat Sheet 中文版》
《Robust Defenses for Cross-Site Request Forgery 中文译文版》
《SQL注入攻击与防御(第2版)》
《SQL注入自学指南》
《上传攻击框架》
《上传验证绕过》
《Web安全测试》
《Web应用安全威胁与防治》
《Web应用程序安全手册》
《Web入侵安全测试与对策》
《Web安全深度剖析》
《Web之困:现代Web应用安全指南》
《Web应用安全权威指南》
《Web应用漏洞侦测与防御》
《白帽子讲Web安全》
《白帽子讲浏览器安全》
《Web前端黑客技术揭秘》
《安全之路-Web渗透技术及实战案例解析-第2版》
《黑客攻防技术宝典:Web实战篇(第2版)》
《黑客攻防技术宝典:浏览器实战篇》
《黑客大曝光:网络安全机密与解决方案(第7版)》
《代码审计:企业级Web代码安全架构》
《Kali Linux渗透测试的艺术》
《Kali Linux渗透测试实战》
《Kali Linux渗透测试技术详解》
《Kali Linux高级渗透测试》
《Web渗透测试:使用Kali Linux》
《Kali Linux & BackTrack渗透测试实战》
《Kali Linux无线网络渗透测试详解》
《Metasploit渗透测试指南》
《Metasploit渗透测试魔鬼训练营》
《Wireshark 数据包分析实战(第2版)》
《渗透测试指南:必知必会的工具与方法》
《网络扫描技术揭秘:原理、实践与扫描器的实现》
《灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术》
《黑客大曝光:无线网络安全(原书第3版)》
《SRE:Google运维解密》
《企业linux安全运维理念和实战》
《日志管理与分析权威指南》
《Linux 服务器安全策略详解》
《Linux安全入侵防范检测和恢复》
《Linux防火墙(原书第三版)》
《网络安全监控实战 : 深入理解事件检测与响应》
《互联网企业安全高级指南》
国外整理的一套在线渗透测试资源合集
信息安全学习购书清单
0x02 拓展
《黑客大追踪:网络取证核心原理与实践》
《深入理解计算机系统(原书第2版)》
《计算机网络(第5版)》(注:清华大学出版社)
《社会工程:安全体系中的人性漏洞》
《反欺骗的艺术》
《反入侵的艺术》
《TCP/IP详解·卷2:实现》
《图解密码技术第3版》
《应用密码学:协议、算法与C源程序(原书第2版)》
《网络分析技术揭秘:原理、实践与WinPcap深入解析》
《网络渗透技术》
《Shellcoder编程揭秘》
《网络安全监控:收集、检测和分析》
《黑客免杀攻防》
《Java编程思想(第4版)》
《Java安全(第二版)》
《安全编程代码静态分析》
《Python灰帽子-黑客与逆向工程师的Python编程之道》
《电子数据取证》(注:清华大学出版社)
《数据隐藏技术揭秘:破解多媒体、操作系统、移动设备和网络协议中的隐秘数据》
《数据驱动安全 : 数据安全分析、可视化和仪表盘》
《威胁建模 : 设计和交付更安全的软件》
《安全模式最佳实践》
《算法导论(原书第2版)》
《程序员的自我修养:链接、装载与库》
《代码整洁之道》
《程序员的怒吼》
最后送给大家一句自己在安全道路上的座右铭:发现大师,追随大师,成为大师,超越大师!