Огромный список ресурсов Hakluke для начинающих хакеров

Когда вы впервые начинаете что-то изучать, может быть трудно найти высококачественные ресурсы, которые помогут вам в вашем путешествии. В этой статье мы расскажем о том, что, по моему мнению, является лучшими ресурсами для обучения взлому на данный момент (проверка даты: август 2021 г.). В частности, эти ресурсы предоставят начинающим хакерам отличную основу для поиска багов или тестирования на проникновение. Теперь имейте в виду, что существует много ресурсов, поэтому мне определенно не хватает многих из них. Если я пропустил что-то, что, по вашему мнению, должно быть покрыто - дайте мне знать!

Список довольно длинный, но не перегружайтесь. Вам не нужно перебирать каждый фрагмент контента по каждой ссылке. Вам будет трудно когда-либо пройти через все это. Я, конечно, нет. Вместо этого стремитесь учиться понемногу регулярно. Или, как выразился Джеймс Клир, «вы должны быть гораздо больше озабочены своей текущей траекторией, чем текущими результатами».

Список списков

Я не первый, кто создает список ресурсов для начинающих хакеров, и не буду последним! Ниже вы найдете список списков. Каждый из них является своим собственным хранилищем ресурсов, похожим на этот.

• «Ресурсы для начинающих охотников за ошибками» Nahamsec — это организованный указатель ресурсов для обучения взлому. Он довольно всеобъемлющий и хорошо продуманный. Потребовались бы месяцы, чтобы пройти через все это!
• Функция поиска Кодинго на его веб-сайте индексирует огромный стек общедоступного контента от хакеров. Это особенно полезно, если вы ищете контент по определенной теме или классу уязвимостей.
• «Справочное руководство по безопасности» S0cm0nkey — еще одно отличное, хорошо подобранное и хорошо организованное хранилище ресурсов по кибербезопасности.
• InfosecWriteups — это публикация на Medium, в которой есть огромное количество статей, связанных с кибербезопасностью, для CTF и вознаграждений за ошибки.

Лаборатории

• Pentesterlab имеет практический подход к обучению взлому. Каждый урок представляет собой практическую лабораторную работу, в которой вам нужно использовать уязвимость, которая имитирует то, что вы можете увидеть в реальном приложении. Он охватывает множество различных классов ошибок от базовых до продвинутых. У них есть размещенное платное предложение, или вы можете загрузить некоторые из их более простых упражнений в виде ISO.
• Portswigger labs — это огромный набор лабораторий по безопасности веб-приложений, которые абсолютно бесплатны. Каждая практическая лаборатория также поставляется с решением и «решением сообщества», которое обычно представляет собой видео на YouTube от хакерского сообщества.
• Tryhackme — это платформа для обучения кибербезопасности и соревновательная хакерская игра. Когда вы регистрируетесь, вы выбираете один из трех потоков: предварительная безопасность для основ, наступательное тестирование на проникновение или киберзащита. Платформа кажется довольно всеобъемлющей и включает в себя лаборатории не только для уязвимостей веб-приложений, включая переполнение буфера, Active Directory и многое другое.
• Hackthebox наиболее известен тем, что является постоянным всемирным соревновательным CTF, но они также предоставляют некоторые очень высококачественные обучающие «треки» по любым / всем темам, о которых вы только можете подумать. Они предлагают множество лабораторий / коробок бесплатно, но также имеют различные премиум-подписки, которые позволяют взламывать коробки с истекшим сроком действия, менее переполненные лабораторные среды и профессиональные лаборатории.
• Kontra — это онлайн-платформа, которая предлагает серию размещенных лабораторных работ, предназначенных для обучения разработчиков безопасности приложений. Платформа очень удобная и удобная для новичков - каждая лаборатория основана на истории. Он проходит через правдоподобный сценарий атаки в реальной жизни, обучая учащегося, как будет использоваться уязвимость, а также как выглядит уязвимый код.
• Hacker101.com — это онлайн-платформа для обучения веб-безопасности, созданная платформой Hackerone. Он включает в себя множество задач CTF, вдохновленных реальными уязвимостями, а также серию видеоуроков обо всех элементах веб-взлома.
• Vulnhub - это платформа, которая позволяет пользователям загружать «ящики вызова», которые являются намеренно уязвимыми виртуальными машинами, цель состоит в том, чтобы получить доступ на уровне root / системы на этих машинах, используя различные уязвимости.

Каналы YouTube

• У Джона Хаммонда есть очень интересный канал, охватывающий всевозможные темы, включая пошаговые руководства CTF, учебные пособия по программированию, интервью, даркнет, анализ вредоносных программ и многое другое!
• Каждое воскресенье Нахамсек проводит «Recon Sundays», где он транслирует прямую трансляцию и приглашает гостей для интервью или взлома. Он также проводит «Нахамкон», виртуальную конференцию по безопасности с отличными докладчиками.
• STÖK выпускает всевозможные видеоролики, связанные с кибербезопасностью, в основном касающиеся вознаграждений за ошибки. Он берет интервью у некоторых великих хакеров и документирует события взлома в реальном времени. Каждую неделю он выпускает «Bug Bounty Thursdays», в котором рассказывается о последних новостях bug bounty.
• Фара Хава отлично разбирается в сложных темах и объясняет их таким образом, чтобы вы поняли, разбив их на основы. Она описывает различные классы ошибок, процесс взлома и карьеру.
• Codingo создает видеоролики, посвященные bug bounty, включая видео об инструментах, процессах взлома, разведке и многом другом.
• На данный момент Liveoverflow является легендой YouTube в области кибербезопасности, выпустив более 300 видеороликов на самые разные темы.
• PwnFunction также фокусируется в первую очередь на взломе веб-приложений. Видео имеют действительно приятный стиль и очень хорошо объяснены.
• Ippsec почти исключительно создает пошаговые руководства по блокам испытаний HackTheBox. Каждое действие объясняется очень хорошо, такое ощущение, что вы наблюдаете за профессионалом через плечо, и это отличный способ учиться.
• ИнсайдерPhD «Доктор, по-видимому, хакер, преподаватель кибербезопасности, образовательный ютубер, инженер по безопасности приложений и все еще ждет Нобелевской премии больше часов в день». Делает отличные видео о взломе, наградах за ошибки, машинном обучении и многом другом!
• Cyber Mentor (TCM) — отличный преподаватель кибербезопасности, который теперь руководит собственной академией «TCM Security Academy». Он наиболее известен разработкой отличных курсов по кибербезопасности, особенно в области тестирования на проникновение.
• Хаклюк. Я могу рекомендовать себя, верно? Я делаю обучающие видео, объяснения отчетов об ошибках, видеоролики о карьере и мышлении.

Аккаунты в Твиттере

Я не буду давать описание каждого аккаунта в Твиттере, потому что публикуемый контент будет значительно меняться изо дня в день. Все эти аккаунты в Твиттере публикуют отличный контент, связанный с кибербезопасностью, большинство из них имеют отношение к вознаграждениям за ошибки.

• Хаклюке
• Джаддикс
• Нахамсек
• Стокфредрик
• Франсрозен
• Ннвакелам
• Samwcyo
• ИнсайдерДоктор философии
• Альбиновакс
• Codingo_
• sml555_
• Зсеано
• Farah_Hawaa
• МистерТуксрейсер
• Th3G3nt3lman
• Spaceraccoonsec
• Эрббисам
• 0xteknogeek
• 0xpatrik
• LiveOverflow
• EdOverflow
• Файловый дескриптор
• Нгалонг
• Rhynorater
• Codecancare
• Мертистаун
• _jensec
• Яворск
• Тедоугиг
• Regala_
• Томномном

Блоги и рецензии

• Hackerone Hacktivity имеет неограниченный поток раскрытых уязвимостей на платформе Hackerone. Чтение их — отличный способ увидеть, какие вещи люди находят и вдохновляют на ваш собственный взлом.
• Crowdstream — это эквивалент Hacktivity от Bugcrowd. Хотя там гораздо меньше раскрытых отчетов, их стоит прочитать!
• У Pentesterland есть огромный, тщательно подобранный список статей о вознаграждениях за ошибки и ресурсов для начинающих хакеров.
• Инти Де Сеукелер — отличный охотник за ошибками и глава отдела хакеров на платформе вознаграждения за ошибки Intigriti. Он умеет находить критические системные ошибки, которые затрагивают многие организации, и делать отличные статьи!
• Блог D0nut представляет собой смешанную сумку с большим количеством драгоценных камней.
• Medium Publication от Intигрити наполнен отличным контентом о наградах за ошибки!
• Secjuice — это некоммерческое издание, в котором публикуются всевозможные статьи о кибербезопасности, включая статьи CTF, учебные пособия, методологии и многое другое.
• В блоге Tomnomnom есть три исключительные технические статьи о приготовлении торта, приготовлении стейка и отладке ошибки в чрезвычайно нишевом оконном менеджере. Как выясняется, яйца «среднего размера» различаются по размеру довольно значительно.
• В моем блоге есть куча информации о наградах за ошибки и процессе взлома.

Есть также несколько отличных блогов с более продвинутым содержанием исследований безопасности, вы можете увидеть некоторые из них ниже!

• Detectify Labs публикует впечатляющее количество исследований в области кибербезопасности.
• Portswigger Research также публикует впечатляющее количество исследований в области кибербезопасности.
• Bishopfox Labs выпускает отличные исследовательские работы и инструменты.

Discord / Форумы

Быть частью сообщества и находить людей, от которых можно поделиться идеями, иногда действительно полезно! Вот куча приглашений для серверов Discord, связанных со взломом.

• Сообщество Bugcrowd Discord
• TryHackMe Discord
• Кибер-наставник Discord
• 0x00sec Форум
• 0x00сек Discord
• ИнсайдерPhD Discord
• Нахамсек Дискорд
• Взломать TheBox Discord

И многое другое - вы можете использовать функцию «обнаружения» Discord для поиска ключевых слов, связанных с кибербезопасностью.

Заключение

Это действительно лишь маленький дегустатор ресурсов, которые доступны для обучения взлому, но нам нужно где-то остановиться! Надеюсь, это даст вам хорошую отправную точку в вашем хакерском путешествии. Удачи и удачного взлома!