网络安全学习资料总汇

1、Web security 

1. 《http权威指南》【图灵出品】:  深入理解web http/https协议 ，了解超文本传输协议是如何进行传输和编译的。

2. 《javascript权威指南》:淘宝前端团队翻译，深入了解前端js变量，注释，函数，表达式等，学习xss必备书籍。还提及了jquery类库。

3. 《xss跨站脚本攻击与防御》: 学习xss基础必备。也是目前国内唯一一本专门介绍xss技巧的书籍.

4. 《白帽子讲web安全》:  阿里安全专家吴瀚清处女作，大佬级黑客ucloud创始人季昕华做序,已成为web安全从业人员入门必看学习书籍。

5. 《web前端黑客技术揭秘》: 主要包含Web 前端安全的跨站脚本（XSS）、跨站请求伪造（CSRF）、界面操作劫持这三大类，涉及的知识点涵盖信任与信任关系、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等，这些都是研究前端安全的人必备的知识点。

6. 《代码审计：企业级web安全代码架构》配合《细说php》最佳:  阿里巴巴安全专家尹毅的新书

7. 《kali linux&back track渗透测试实践》【图灵出品】

8.《sql注入攻击与防御》:   详细的介绍了sql盲注等各种注入技巧。web安全入门必看。

9. 《网络扫描技术揭秘》: 出版已超过三年的老书,主要介绍网络扫描技术。如：分布式扫描，高速扫描等。

10. 《python黑帽子》 : 作者根据自己在安全界，特别是渗透测试领域的几十年经验，向读者介绍了Python 如何被用在黑客和渗透测试的各个领域，从基本的网络扫描到数据包捕获，从Web 爬虫到编写Burp 扩展工具，从编写木马到权限提升等.

11. 《黑客技术攻防宝典：web安全篇》:  看第一遍的时候可能看不懂讲的什么,主要看目录，一本普及面非常广阔的知识性图书，但是每个知识点概括不会很详细。也很值得收藏。

2、Mobile security  

1)  android security：

1. 《andriod软件安全与逆向分析》:  大非虫原创处女作，通俗易懂涉及面广。不管新手老手都适合看。全书主要讲解Android 环境搭建，Android组件，Android软件安全测试之法。

2. 《android安全攻防指南》: 众多大牛推荐…自然是不少干货为白帽子提供了漏洞发现、分析和利用的使用工具。在详细介绍android操作系统工作原理和总体安全架构后，研究了如何发现漏洞，为各种系统部件开发利用，并且进行应对。移动设备管理者、安全研究员、android应用程序开发者和负责评估android安全性的顾问都可以在本书中找到必要的指导和工具。

3. 《andriod安全攻防实战》： 

4. 《andriod安全技术揭秘与防范》：  一本新书，红衣教主推荐

5. 《android系统安全和反汇编实战》  

2） ios security：

1. 《ios应用安全攻防实战》：如何保障自己的应用数据安全？本书提供一些用于防御常见攻击方法的方式。

2. 《黑客攻防技术宝典ios实战篇》：国际大牛之作，介绍iOS应用漏洞挖掘方式，模糊测试技巧。

3. 《ios取证实战》：  

4. 《ios应用逆向工程》：  国内iOS老手杜总的力作，充分介绍iOS 安全机制，iOS反汇编技巧。

5. 《移动应用安全》：  主要从Android iOS windows mobile三个方向谈及安全知识。

6. 《移动终端安全关键技术与分析》：   唯一一本讲移动终端安全的书籍，纯知识性。 

3、Bin or Reverse Engineering 

1. 《intel微处理器》：看雪坛友推荐

2. 《逆向工程核心原理》： 韩国翻译过来的逆向书籍，深入浅出各种反汇编大法。调试大法，上钩大法。介绍利用各种工具。特别适合入门。

3. 《加密与解密》： 看雪论坛创始人锻钢著作，经典之经典。主要介绍软件逆向，调试。反汇编，加壳脱壳等技术。

4. 《挖0day》： 八进制核心成员编写，测试方法基本过期。但是对于软件特性，漏洞挖掘思路绝对脑洞一开。

5. 《有趣的二进制》：不仅仅是书有趣，作者也是个有趣的人~一本由日文翻译过来的二进制安全书籍，翻译的非常仔细，仔细到调试工具里的弹窗文字都要翻译注释下来。基础书籍，事宜入门。也学学岛国的安全技术吧

6. 《模糊测试 强制发掘安全漏洞的利器》：  超经典书籍。里面介绍的挖掘方法基本过期。但是技术思路和全书介绍的不少fuzz工具绝对值得收藏。

7. 《汇编语言》： 了解汇编语言，寄存器，地址布局，汇编指令，数据段是件对逆向工程有好处的事儿~

8. 《格蠹汇编 软件调试案例锦集》：  全书通篇介绍作者软件调试实战。没有一点水货~也不扯淡。学软件调试就看这个了。

9. 《软件调试》： 上面那本书的姊妹篇，同一个作者。

10. 《逆向工程实战》： 这本书一上来就分析栈操作和函数调用，对于新手来说不建议直接就啃。不过内容详细，看看上面的其他书籍或者了解一下汇编和C语言知识再啃这个比较合适。

4、稍偏门类安全类 

1. 无线：《无线网络黑客攻防》，详细介绍包括但不限于无线网络，无线蓝牙等无线攻防技术。了解什么是wpa，什么是cowpatty，mdk3。介绍  Auth Flood攻击 Deauth Flood攻击 Association Flood攻击 Disassociation Flood攻击RF Jamming攻击和各种漏洞测试方法。

2. 《揭秘家用路由0day漏洞挖掘技术》：  够详细，连指令表都有。从路由器web。客户端，以及硬件安全方面介绍，介绍了各种测试方法，利用方式，扫描技术。

3. 内核： 《内核漏洞的利用与防范》 ，不是很好理解的一本书，毕竟内核漏洞也不是想挖就挖的到的……

4. 浏览器：《web之困》，这是一本不介绍漏洞，也不讲测试的经典书。全原理式讲解浏览器安全的前世今生~

5. 数据安全：《数据驱动安全》，360某安全团队翻译过来的…大数据时代，当然用数据说话…只是对照着英文版发现有一丢丢的翻译错误。

6. 云计算安全：《信息安全技术 云计算服务安全指南》。

7.  tools books：《metasploit渗透测试指南》、《wireshark2数据包分析实战》、《ida pro权威指南》 《kali linux渗透测试的艺术》、《github入门与实践》、《fiddle调试权威指南》、《计算机安全超级工具集》、《雷神的微软平台宝典》。

5、linux 类 

1. 《linux内核源码剖析》上/下 ： 几乎把Linux开源的每一段代码，每一条函数都拿出来分析。所以分成两本比较厚的书。了解Linux内核源码，操作原理就选这个了。

2. 《鸟哥的linux私房菜》：  Linux安装到使用，搭建到指令。最最基础的Linux学习用书

3. 《linux内核完全注释》《ram linux内核源码剖析》

4. 《linux内核设计与实现》： 出版超过3年的经典书籍。从Linux内核进程，内核线程，调度，系统调用，中断和异常处理等方面概述了Linux内核的设计与实现原理。

5. 《tcp/ip详解》：描述了属于每一层的各个协议以及它们如何在不同操作系统中运行。作者用lawrence berkeley实验室的tcpdump程序来捕获不同操作系统和tcp/ip实现之间传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。

6、IT思维 

1. 《我的互联网方法论》： 周鸿祎的龙头之作。他讲的方法其实就是他的产品理念

2. 《增长黑客》：书名写着“黑客”讲的主题却是营销，用大数据说明如何利用“黑客”为自己增值。适合创业者看~

3. 《德鲁克全书》：这本书本跟IT无关，但是里面的故事大多发生在互联网公司，并且适合创业者或者管理者阅读。一种把员工当成客户（上帝）的思维，层出不穷的管理体系理念。非常棒的管理思维。

4. 《谷歌是如何运营的》：想运营好自己的公司或者部门，可以先从这里参考或者一下学习一下谷歌是怎么做的。

5. 《乔布斯传》：乔布斯是我一直的偶像，真正的偶像。他的产品理念和创新思维绝对一流。不管是技术员，管理员，运维，CEO，都值得看看。

6.  《腾讯传》  话说马化腾，道言张小龙。讲QQ，谈微信！

7、优质的学习资源 
1. 知乎周刊：http://zhuanlan.zhihu.com/

2. 码农周刊：http://weekly.manong.io/

3. Pycoder's Weekly：http://pycoders.com/archive/

4. Hacker News：News：https://news.ycombinator.com/

5. 合天网安实验室：http://www.hetianlab.com

6. Startup News：http://news.dbanotes.net/

7. 极客头条：http://geek.csdn.net/

8. InfoQ：http://www.infoq.com/cn

9. Stack Overflow：http://stackoverflow.com/

10. GitHub：GitHub：https://github.com/

11. FreeBuf：http://www.freebuf.com/

12. csdn博客：blog.csdn.net

13. 博客园：www.cnblogs.com

14. 雷锋网：leiphone.com

15. 吾爱破解：52pojie.cn

16. 看雪论坛：bbs.pediy.com

17. 绿盟科技博客：http://blog.nsfocus.net/

18. E安全：http://www.easyaq.com/

19.360播报:bobao.360.cn

20. 游侠安全网 http://www.youxia.org

8、第三方漏洞平台 

1. 补天漏洞响应平台 （（https://butian.360.cn/ ）： 自称是全球最大的漏洞平台，拥有上万名白帽子，对通用型漏洞奖金略高，1kb＝3rmb。

2. 漏洞盒子（漏洞盒子（https://www.vulbox.com/ ）： freebuf创办。

3.  Sobug 众测平台(众测平台(https://sobug.com/ ): 冷 焰创办。

4. sebug漏洞库（sebug漏洞库（https://www.sebug.net/ ）：一家以收集poc或exp为奖励的平台，据说挺赞的。

5. 比戈大牛（http://www.bigniu.com ）： 新平台，以收购android bin漏洞为主，奖励很丰厚。

6. 阿里云盾先知计划（ http://xianzhi.aliyun.com/ ）：只收通用漏洞 最高奖金50w。


9、企业SRC 

1. 网易安全中心 ( http://aq.163.com  ):五块钱都可以换…

2. 腾讯安全应急响应中心 (  http://security.tencent.com/):据说是全中国最好的SRC。

3.  阿里巴巴安全应急响应中心(阿里巴巴安全应急响应中心(https://security.alibaba.com/ ):有钱任性，平台负责人是个高颜值帅哥。

4. 新浪安全应急响应中心(http://sec.sina.com.cn/): 

5 . 百度安全中心(http://sec.baidu.com/):  奖励不是很高，作为bat却排在了最后。

6. 京东安全应急响应中心( http://security.jd.com/ ):奖励在步步提升了，并且和asrc一样有流动全国沙龙巡演。

7. 360安全应急响应中心 (http://security.360.cn/ ): 月排名奖金真的很吸引人！

8. 1号店安全应急响应中心( http://security.yhd.com/  ): 

9. 金山安全应急响应中心(http://sec.kingsoft.com/ ): 小气小气小气小气小气....

10 . 携程安全应急响应中心(http://sec.ctrip.com/ ):  商城礼品略少正在逐步改善…

11.  去哪儿安全应急响应中心 ( http://security.qunar.com/ ):  

12. 搜狗安全应急响应中心( http://sec.sogou.com/):  1安全币＝1RMB。

13. 小米安全中心(小米安全中心(https://sec.xiaomi.com/ ): 奖金不多，也不算少，直接打钱的src.

14 . 联想安全应急响应中心( http://lsrc.lenovo.com/index.htm):  奖金正在逐步提升，不时翻倍.

15.  深信服安全响应中心(http://security.sangfor.com.cn ):  奖励直接发京东卡的。

16 . 魅族安全响应中心 ( http://sec.meizu.com/ ):  一币＝10rmb，meizu pro5才280个币。

17.   安全狗（http://security.safedog.cn ）：公告形式排名，运营比较温柔~

18.  迅雷（ http://safe.xunlei.com ）：不了解…

19.  欢聚时代安全应急响应中心（ http://security.yy.com ） ：奖励略少…

20.  平安集团安全应急响应中心（ http://security.pingan.com ）：直接以钱作为奖励方式，一个getshell大概4000块，积分比较狠。几十万来的。

21.   唯品会安全应急响应中心（ http://sec.vip.com/ ）：也算个良心src了，不过有个缺点就是，只以唯品卡为奖励方式，没满10的暂存。还挺不错。毕竟新生src。

22.  苏宁安全应急响应中心（ http://security.suning.com/ssrc-web/index.jsp ）： 有个审核有点帅……………一个币＝5rmb，商城目前未上线，不过快了。

23.   滴滴打车安全应急响应中心（http://sec.didichuxing.com/ ）： 刚上线…排行榜都木有