Back

D0g3的小书单

Luc|faer
Luc|faer 2016年08月25日

说在前面的几句话:

很早的时候就想自己列一个书单,然后把上面的书看一遍了。

书,尤其是好书,是一定要看的,用来充实自己。

好书不止要看一遍,有时间就重新看一下,会有很多新的体会。

原来没时间,眼界也不够,现在也算是看了一些书了,想把自己看过的,还有想要看的列一个单子,算是自己的一个总结吧。

语言类

前言

对于一个信息安全工作者来说,首先要是一个程序员——也就是说,首先你要会编程。编程语言的书,我是非常不推荐看国内作者写的书的,有下面几个原因:

  • 思维古板,不利于将来的发展
  • 内容旧,而且生硬,缺少例子。
  • 错误多,非常多
  • 重难点把握不到位,关键的全没讲,没用的讲一大堆。

学习编程,最重要的是要边学边练,这样自己的编程水平才会提高,望大家谨记。

Booklist

  • 《C Primer Plus》 C语言的圣经,回来要重新拜读一下。
  • 《C++ Primer Plus》 同上。
  • 《C和指针》 圈和龙帅的推荐,据说很不错,我没有看过.....
  • 《C陷阱与缺陷》 帮助提升你对C的认识。又没看过.....
  • 《PHP和MySQL Web开发》 PHP圣经,看过一遍,不够,回来再看一遍。
  • 《Python 基础教程》 python最好的入门书籍,还在看......(个人感觉一般,python最好的学习方法还是不停的写代码)。
  • 《Python 核心编程》 python我目前看到的最好的书,挺厚的,讲的比较底层,没有看完,回来继续拜读。
  • 《Python 黑帽子》 渗透的同学要看的一本书,全部都是代码,挺多干货的。
  • 《Python 灰帽子》 很厚,逆向同学必看。
  • 《Python 绝技》 书写的非常不错,涵盖的范围比较广,还没有看完,回去继续拜读。

Ps:上面说的关于Python的书并不是要一本一本看完,完全可以几本混杂的看。

  • 《代码整洁之道》 以后要看的书,算是必须要看的书之一。
  • 《java编程思想》 java程序员的圣经。买了没怎么看。

关于其他的语言,由于我没有涉猎,所以就不乱推荐了,大家根据自己的需求来看。

渗透

在渗透方向,我可以推荐一些东西了(毕竟自己是搞渗透的嘛)。这方面的书,国内作者写的偏向于入门以及应用,国外作者写的偏向于渗透思路,两者可以结合起来看。

最后说一句,无论渗透还是逆向还是编程,都要落实到动手去做的层面上,不实际的动手写代码,不实际的动手去进行测试,一切都只能是纸上谈兵。我有个比较好的思路,可以供你们参考一下:

  • 读书-总结-实验

总结和实验是非常重要的两块,我的习惯是看一遍书,看完后立马总结,并且把自己的想法添加进去。

Booklist

  • 《白帽子讲Web安全》 我觉得这其实是一本介绍型的书籍,它介绍给你什么是Web安全,让你了解Web安全到底做什么。推荐新手看
  • 《Web渗透技术及实战案例解析》 老板强力推荐的一本书,想要做乙方测试的同学可以看一下,我回去之后也拜读一下。
  • 《Web前端黑客技术揭秘》 COS的书,我现在也在看,他讲的更多是一种漏洞挖掘的思路,感觉写的还不错。
  • 《黑客攻防技术宝典 Web实战篇》 很厚很厚,我读的第一本书,对于新手不是很友好,但是现在想一下的话,发现这本真的是宝典,回去接着看。
  • 《安全之路》 这本书也适合小白,不推荐里面的工具,但是看这本书能知道很多的专业名词,培养你的最基本的渗透思路。
  • 《Web渗透测试 使用Kali Linux》 工具书,将kali的工具介绍的比较全面,是一本非常好的参考书
  • 《Kali Linux渗透测试技术详解》 买了还没有看,偏实战一些,同样也是工具书。
  • 《SQL注入攻击与防御》 SQL注入圣经,老外的书,讲的非常详细,从底层原理到web端的注入语句,看了100多页,受益匪浅。回去继续拜读。
  • 《TCP/IP详解》 总共三卷,是网络协议的圣经,安全研究人员必看。然而我还没看.....
  • 《黑客秘籍——渗透测试使用指南》 最近看的,介绍了一些作者的渗透测试思路,你需要关注他诉说的经验,而不是利用工具。
  • 《XSS跨站脚本攻击解析与防御》 没有看完,但是感觉写的并不是很好,只能说勉强用它来入门吧。回去慢慢看。
  • 《Metasploit渗透测试魔鬼训练营》 诸葛建伟的书,个人觉得真的还不错,里面的讲解非常的详细,提供的实例也很多,可以加深你对metasploit的理解。
  • 《代码审计》 我看了这本书,并不是说你看完了这本书就能进行代码审计的工作,它只是给你一个思路,还有作者多年代码审计的小结,写的不错,但是如果想提升代码审计的能力,还是去看代码吧。
  • 《安全参考》 这是一本连载杂志,可以说非常好,渗透入门必读,只可惜已经停止更新了,不然的话还可以学到更多,可以这样说,当你把安全参考认认真真看完的那一刻,你已经很NB了。
    读书不在多,而在精。在实际中把书中所学运用到才是真正的读懂了这本书。你现在看到的东西,可能你并不觉得有什么用,但是当你在研究其他一方面的时候,可能就用到了这些东西。所以广涉猎,细专精。

书买来不是让他吃灰的,所以多读书,少水群- -。

论坛

  • 90sec:https://forum.90sec.org/ 需要写文章来获得邀请码,论坛氛围很不错,大牛也很多,虽然近几年有些冷清,但是每次发帖的质量都很高,可以学到很多。
  • 土司:https://www.t00ls.net 不错的安全论坛,也需要写文章来获得邀请码,算是国内顶尖的技术论坛,土司大牛多,菜鸟也多,氛围比较杂,水贴和牛贴混杂。
  • 习科:http://bbs.blackbap.org 还记得这是我去的第一个论坛,貌似需要邀请?忘了,不过很适合初学者,帖子很基础。
  • sss论坛:http://bbs.sssie.com sss团队成立的一个论坛,貌似需要购买邀请码,重大节日会开放注册,帖子还不错,适合初学者。多以渗透测试为主。
  • 红盟:https://www.ihonker.org 已经不在意是真红盟还是假红盟,只知道开放注册,并且帖子还行,适合初学。

逆向

我不会逆向,但是由于工作的原因,也是不得不去学逆向方面的知识。

站在现在这个角度看,其实渗透逆向是不分家的,就看你的切入点是哪个方面。

下面也是我回去打算专门看的书,有点多。说实话这么多书其实看到大四也看不完,但是人嘛,总得逼一下自己嘛。

Booklist

  • 《汇编语言 第三版》 王爽的经典教材,学习逆向最基础的就是要看懂汇编语言
  • 《加密解密 第三版》 蛙叔叔力推,基本上道格的所有逆向组的人都是从这本书开始,我也打算看...
  • 《逆向工程核心原理》 据说很不错,例子很多。
  • 《0day2安全 软件漏洞分析技术》 已经绝版的书,很厚,现在多为盗版,正版可能400左右,据说讲的很全面,看完有很大的提升。
  • 《漏洞战争》 新书,也很厚,据说写的非常不错,值得买一本。配合0day来看效果很好。
  • 《IDA Pro权威指南》 IDA是逆向工作的神器之一,重要性我就不多说了。
  • 《Andriod软件安全与逆向分析》 非虫大大的著作,从安卓逆向最基本讲起,逐步深入,包含各种实例讲解,很透彻。安卓逆向必备。

其他

这个主要是关于Linux的书,由于我也走的不深,所以只推荐两本:

  • 《鸟哥的Linux私房菜》总共两本,非常的厚,但是属于Linux的入门书籍,通过阅读可以了解和解决平时在使用Linux的问题,个人觉得这两本书是绝对不亏的。

当然还有在实习过程中把我怼的半死的路由器:

  • 《揭秘家用路由器0day漏洞挖掘技术》 不说了,看的我好难过。

本书单会随着我学习的过程进行更新,所有的书以最新版为准。

编写名单(名字不分先后):

道格小组:

Luc|faer

Balis0ng

c1tas

f2og0d

S_Dante

shiroalice

Submit