安全笔记

• 专注开源安全防御解决方案研究
• 通过搜集、整理、验证、加工安全防护知识，提供一套完整的安全防御解决方案，帮助企业提升安全防护能力

声明

• 由于精力、经验的限制，对于一个问题可能存在认知上的不足，欢迎大家及时给予更正，本工作室也会在不断学习中进行完善，及时更新内容
• 本工作室内容大部分来源于互联网公开的信息，加以分类、汇总而形成，如果存在侵权等问题，请第一时间告知，我们将及时删除
• 由于法律、法规等风险，本工作室不会讨论最新的攻击技术，包括最新0day，完整利用工具等等

专注内容

主要以owasp为主线,进而扩展相关领域知识，希望适应各种业务场景

    graph LR
    A(web客户端) -->B(网络边界 cloudflare/高防IP有可使用的入口IP)
    C(mobile客户端 owsasp_mstg/masvs)--> B(网络边界 modsecurity/crs)
    B-->G(培训 webgoat/shepherd/securecodeindojo)
    G-->D(设计 threat_dragon)
    D-->E(code 开发指南/esapi/sso)-->第三方包(dependency check)-->安全配置(CIS/CheatSheetSeries)
    E-->F(Test nettacker/wstg)-->J(owasp zap)
    H(amass,nmap,pulsar,readteamtoolkit)-->B
    B-->I(蜜罐 HFish,python_honeypot)

安全加固

小操作，大安全
安全加固/安全基线是安全防护中最重要的组成部分，从成本与收益角度来看，应该最先去做，一次小的操作，就可能大大提高安全防护能力

安全系统

与其投入大量的资源挖掘漏洞,不如投入在系统设计与开发上,让每个开发人员都是一名合格的安全开发工程师。安全测试仅仅应该是验证安全性

安全防御体系

专注安全防护和检查建设

付费问答

帮助非安全人员从业人员回答基础安全知识,每个问题10元(问之前付5元,回答后,如果觉得答案有帮助,在付5元)

安全项目

将安全解决方案以项目的形式进行落地

• 密码管理
• 安全开发教程
• 安全知识库