安全笔记
- 专注开源安全防御解决方案研究
- 通过搜集、整理、验证、加工安全防护知识,提供一套完整的安全防御解决方案,帮助企业提升安全防护能力
声明
- 由于精力、经验的限制,对于一个问题可能存在认知上的不足,欢迎大家及时给予更正,本工作室也会在不断学习中进行完善,及时更新内容
- 本工作室内容大部分来源于互联网公开的信息,加以分类、汇总而形成,如果存在侵权等问题,请第一时间告知,我们将及时删除
- 由于法律、法规等风险,本工作室不会讨论最新的攻击技术,包括最新0day,完整利用工具等等
专注内容
主要以owasp为主线,进而扩展相关领域知识,希望适应各种业务场景
graph LR
A(web客户端) -->B(网络边界 cloudflare/高防IP有可使用的入口IP)
C(mobile客户端 owsasp_mstg/masvs)--> B(网络边界 modsecurity/crs)
B-->G(培训 webgoat/shepherd/securecodeindojo)
G-->D(设计 threat_dragon)
D-->E(code 开发指南/esapi/sso)-->第三方包(dependency check)-->安全配置(CIS/CheatSheetSeries)
E-->F(Test nettacker/wstg)-->J(owasp zap)
H(amass,nmap,pulsar,readteamtoolkit)-->B
B-->I(蜜罐 HFish,python_honeypot)
安全加固
小操作,大安全
安全加固/安全基线是安全防护中最重要的组成部分,从成本与收益角度来看,应该最先去做,一次小的操作,就可能大大提高安全防护能力
安全系统
与其投入大量的资源挖掘漏洞,不如投入在系统设计与开发上,让每个开发人员都是一名合格的安全开发工程师。安全测试仅仅应该是验证安全性
安全防御体系
专注安全防护和检查建设
付费问答
帮助非安全人员从业人员回答基础安全知识,每个问题10元(问之前付5元,回答后,如果觉得答案有帮助,在付5元)
安全项目
将安全解决方案以项目的形式进行落地
- 密码管理
- 安全开发教程
- 安全知识库