husnainfareed/awesome-ethical-hacking-resources
GitHub: husnainfareed/awesome-ethical-hacking-resources
一份覆盖多类学习与实践场景的道德黑客与渗透测试资源导航清单,解决高效获取权威学习资料与平台的需求。
Stars: 3428 | Forks: 535
# 道德黑客与渗透测试的优质资源清单 ⚡️ [](https://github.com/sindresorhus/awesome)  
我在这里分享的是关于黑客技术与渗透测试的一些最佳资源合集,帮助你更快学习!让我们一起打造这个社区最好的资源库。
## 目录
- [书籍](#books)
- [在线资源](#online)
- [离线资源](#offline)
- [脆弱机器与网站](#Vulnerable-machines-and-websites)
- [漏洞数据库与资源](#vulnerability-databases-and-resources)
- [恶意软件分析](#malware-analysis)
- [Linux 渗透测试操作系统](#linux-penetration-testing-os)
- [课程](#courses)
- [工作坊/播放列表](#workshop-playlists)
- [安全演讲与会议](#security-talks-and-conferences)
- [YouTube 频道](#youtube-channels)
- [论坛](#forums)
## 书籍
1. 《黑客实战手册 2:渗透测试实践指南》
2. 《黑客与渗透测试基础(原书第二版):道德黑客与渗透测试轻松入门》
3. 《闯入信息安全领域:101 基础实践》
4. 《渗透测试:动手实践入门》
5. 《社会工程学:人性黑客的艺术》
6. 《黑客技术:漏洞利用的艺术(原书第二版)》
7. 《Web 渗透测试 101》
8. 《OWASP 测试指南(Web 应用开发与渗透测试人员必读)》
9. 《Web 应用黑客手册:发现与利用安全漏洞》
10. 《Web 渗透测试基础:攻击 Web 的工具与技术》
## 提升技能的练习平台
### 在线
名称 | 描述
---- | ----
[CTF Hacker101](https://ctf.hacker101.com/) | Hacker101 CTF 是一个让你在安全、有趣的环境中学习黑客技术的游戏。Hacker101 是一个免费的教育网站。
[Hack The Box :: 渗透测试实验室](https://www.hackthebox.eu) | 一个在线平台,用于测试和提升你的渗透测试与网络安全技能。今天就加入,开始在线实验吧。
[TryHackMe](https://tryhackme.com) | TryHackMe 是一个通过简短的、基于游戏化的真实场景实验室教授网络安全的在线平台。
[CTF365](https://ctf365.com/) | 一个基于账户的 CTF 网站,曾获 Kaspersky、MIT 和 T-Mobile 奖项。
[Backdoor](https://backdoor.sdslabs.co) | 渗透测试实验室,提供初学者空间、练习场所以及各种竞赛,需要账户。
[Hack.me](https://hack.me/) | 允许你构建/托管/攻击易受攻击的 Web 应用程序。
[CTFLearn](https://ctflearn.com/) | 一个基于账户的 CTF 网站,用户可以进入并解决一系列挑战。
[OWASP 脆弱 Web 应用程序目录项目(在线)](https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project#tab=On-Line_apps) | 列出用于学习目的的在线可用脆弱应用程序。
[Pentestit labs](https://lab.pentestit.ru) | 动手渗透测试实验室(OSCP 风格)
[Root-me.org](https://www.root-me.org) | 提供数百个挑战,可在不同且非模拟的环境中进行训练
[Vulnhub.com](https://www.vulnhub.com) | 脆弱即设计(Vulnerable By Design)的虚拟机,用于实践“动手”数字安全体验
[Windows / Linux 本地权限提升工作坊](https://github.com/sagishahar/lpeworkshop) | 练习你的 Linux 与 Windows 权限提升技术
[Hacking Articles](http://www.hackingarticles.in/ctf-challenges1/) | 包含大量截图的 CTF 简要写-up,适合初学者
[Rafay Hacking Articles, 一个优秀的博客](http://www.rafayhackingarticles.net/) | 由 Rafay Baloch 提供的写-up合集
[PentesterLab](https://pentesterlab.com/) | 20 美元签名,完整内容从基础到编写漏洞利用,涵盖 Web、Android
[CyberSec WTF](https://cybersecurity.wtf/)| 来自悬赏写-up的模拟 Web 渗透测试挑战
[Pentest-Ground](https://pentest-ground.com/) | Pentest Ground 是一个免费游乐场,内置故意设计脆弱的 Web 应用程序与网络服务
[pwn.guide](https://pwn.guide/) | 一个网络安全教育网站,提供约 100 个教程,涵盖 Web、无线……黑客技术与防御教程。提供免费计划。
[HTB Writeups](https://github.com/momenbasel/htb-writeups) | GitHub 上最全面的 Hack The Box 写-up合集 —— 500+ 台机器、400+ 个挑战、ProLabs、Sherlocks(DFIR)、终局挑战与 CTF 活动完整攻略
### 离线
名称 | 描述
---- | ----
[Damn Vulnerable Xebia Training Environment](https://github.com/davevs/dvxte) | 包含多个脆弱 Web 应用程序(DVWA、DVWServices、DVWSockets、WebGoat、Juiceshop、Railsgoat、django.NV、Buggy Bank、Mutilidae II 等)的 Docker 容器
[OopsSec Store](https://github.com/kOaDT/oss-oopssec-store) | 一个故意设计脆弱的电商应用,使用 Next.js 构建,用于 Web 安全培训(OWASP Top 10、API 安全、CTF 挑战)。快速启动命令:`npx create-oss-store`
[OWASP 脆弱 Web 应用程序目录项目(离线)](https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project#tab=Off-Line_apps) | 列出用于学习目的的离线可用脆弱应用程序
## 脆弱机器/网站
1. [FiringRange](https://public-firing-range.appspot.com/)
## 漏洞数据库与资源
漏洞数据库是安全专业人员每天工作的起点。任何新漏洞的检测通常会首先通过公开的漏洞数据库发布。这些数据库是黑客了解、利用/避免/修复漏洞的重要信息来源。
* http://www.exploit-db.com/
* http://1337day.com/
* http://securityvulns.com/
* http://www.securityfocus.com/
* http://www.osvdb.org/
* http://www.securiteam.com/
* http://secunia.com/advisories/
* http://insecure.org/sploits_all.html
* http://zerodayinitiative.com/advisories/published/
* http://nmrc.org/pub/index.html
* http://web.nvd.nist.gov
* http://www.vupen.com/english/security-advisories/
* http://www.vupen.com/blog/
* http://cvedetails.com/
* http://www.rapid7.com/vulndb/index.jsp
* http://oval.mitre.org/
* http://sploitus.com/
* http://cxsecurity.com/
### 恶意软件分析
名称 | 描述
---- | ----
[Malware traffic analysis](http://www.malware-traffic-analysis.net/) | 流量分析练习列表
[Malware Analysis - CSCI 4976](https://github.com/RPISEC/Malware/blob/master/README.md) | 罗彻斯特理工学院另一门课程,内容质量很高
[Bad Binaries](https://www.badbinaries.com/) | 恶意流量分析练习的 walkthrough 文档以及部分偶尔的恶意软件分析内容
### Linux 渗透测试操作系统
名称 | 描述
---- | -----
[Kali](http://kali.org/) | 由 Offensive Security 团队推出的著名渗透测试发行版
[Parrot ](https://www.parrotsec.org/) | 基于 Debian 的完整便携实验室,适用于安全、DFIR 与开发
[Android Tamer](https://androidtamer.com//) | Android Tamer 是面向 Android 安全专业人士的虚拟/实时平台
[BlackArch](https://blackarch.org/index.html) | 基于 Arch Linux 的渗透测试发行版,兼容 Arch 安装
[LionSec Linux](https://lionsec-linux.org/) | 基于 Ubuntu 的渗透测试操作系统
[NullSec Linux](https://github.com/bad-antics/nullsec-linux) | 专注于安全性的发行版,内置汽车黑客、取证和高级渗透测试工具
## 课程
1. [Computer Systems Security, MIT](#vulnerability-databases-and-resources)
2. [cisco's cources](https://www.netacad.com/courses/cybersecurity)
3.[cybrary](https://www.cybrary.it/catalog/cybersecurity/)
4.[hackers academy](https://hackersacademy.com/)
对于想要考取 CEH 的朋友,以下链接专门为你准备。
2. [CBT Nuggets CEH Training](http://goo.gl/JuW85U)
3. [CEH Books](https://goo.gl/gjCBLK)
4. [Guide to Binary Exploitation](https://github.com/r0hi7/binexp)
## 工作坊/播放列表
1. [Web Hacking](https://www.youtube.com/playlist?list=PLJM73L2pQRd4lXBZjsHAmeEqsn5pENXxN)
2. [Ethical Hacking, A Comprehensive Playlist covering almost everything](https://www.youtube.com/playlist?list=PLkRo97mCIn9lgvE7AskNsmwJVOlJX2zaI)
## 安全演讲与会议
1. [InfoCon - Hacking Conference Archive](https://infocon.org/cons/)
2. [Curated list of Security Talks and Videos](https://github.com/PaulSec/awesome-sec-talks)
3. [Blackhat](https://www.youtube.com/user/BlackHatOfficialYT)
4. [Defcon](https://www.youtube.com/user/DEFCONConference)
5. [Security Tube](http://www.securitytube.net/)
6. [Kevin Mitnick: Live Hack at CeBIT](https://www.youtube.com/watch?v=Q7G3kKRdUl4)
7. [Ghost in the Cloud, Kevin Mitnick](https://www.youtube.com/watch?v=76yrWGzScgI)
8. [Kevin Mitnick | Talks at Google](https://www.youtube.com/watch?v=aUqes9QdLQ4)
9. [Complete Free Hacking Course: Go from Beginner to Expert Hacker Today](https://www.youtube.com/watch?v=7nF2BAfWUEg)
## YouTube 频道
现在让我们来看看 YouTube 频道链接……这些频道由黑客分享,他们会上传视频演示(POCs)。观看这些视频,你可以真正了解如何展示这些类型的攻击……
1. [LiveOverflow](https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w)
2. [Black Hat](https://www.youtube.com/channel/UCJ6q9Ie29ajGqKApbLqfBOg)
3. [Injector Pca](https://www.youtube.com/channel/UCRFG_j0cgLWtJOG6fl_-rxQ)
4. [Hisham Mir](https://www.youtube.com/channel/UCYTK8lk8oLLaA330rqd0qgA)
5. [Devil Killer](https://www.youtube.com/channel/UCwfYw-C2xqemqrXq0IKF_Mg)
6. [Suleman Malik](https://www.youtube.com/channel/UC59IHQcCmgNw4GIvsXeLnDQ)
7. [Dem0n](https://www.youtube.com/channel/UC_jNs1biBixcQeSUoJxvNLw)
8. [Frans Rosén](https://www.youtube.com/channel/UCV89UhUtxqwP0j4o9tMipsA)
9. [HackerOne](https://www.youtube.com/channel/UCsgzmECky2Q9lQMWzDwMhYw)
10. [ak1t4 machine](https://www.youtube.com/channel/UCaftcKRiJJW0AJHmR1E5MAQ)
11. [Shawar Khan](https://www.youtube.com/channel/UCPxJLZCoIRJHs1VebWeaByA)
12. [vulnerability0lab](https://www.youtube.com/channel/UC4QJ7X4nnkAYXsnFQpdytcA)
13. [Bugcrowd](https://www.youtube.com/channel/UCo1NHk_bgbAbDBc4JinrXww)
14. [Vijay Kumar](https://www.youtube.com/channel/UCs2NmJGRecw_huNzvQNf2_A)
15. [Web Development Tutorials](https://www.youtube.com/channel/UCS0y5e-AMsZO8GEFtKBAzkA)
16. [Jan Wikholm](https://www.youtube.com/channel/UCOQtLXVJduZ4-YUFOi5EzIA)
17. [Bhargav Tandel](https://www.youtube.com/channel/UCh5MTJLt3LYr_rkwcOQJNWg)
18. [ErrOr SquaD](https://www.youtube.com/channel/UCou-7r8Mk4oQcBmazxp5uwg)
19. [SecurityIdiots](https://www.youtube.com/channel/UCPPAYs04kwfXcHnerm_ueFw)
20. [Penetration Testing in Linux](https://www.youtube.com/channel/UC286ntgASMskhPIJQebJVvA)
21. [Hussnain Fareed](https://www.youtube.com/channel/UCbq5fgcqUz-PlMs3RCOUrXw)
22. [Null Byte](https://www.youtube.com/channel/UCgTNupxATBfWmfehv21ym-g)
23. [ZAID](https://www.youtube.com/user/zaidsabeeh)
24. [vabs tutorial](https://www.youtube.com/channel/UCa0wCQEB8CRKzjJV2GZ_EzA)
25. [the cyber mentor](https://www.youtube.com/channel/UC0ArlFuFYMpEewyRBzdLHiw)
26. [PwnFunction](https://www.youtube.com/channel/UCW6MNdOsqv2E9AjQkv9we7A)
27. [GetCyber](https://www.youtube.com/@GetCyber/videos)
28. [Loi Liang Yang](https://www.youtube.com/@LoiLiangYang)
是否有遗漏的频道?欢迎在评论中补充
### 论坛
名称 | 描述
---- | ----
[0x00sec](https://0x00sec.org/) | 黑客、恶意软件、计算机工程、逆向工程
[Antichat](https://forum.antichat.ru/) | 俄语社区论坛
[CODEBY.NET](https://codeby.net/) | 黑客、WAPT、恶意软件、计算机工程、逆向工程、取证 —— 俄语社区论坛
[EAST Exploit database](http://eastexploits.com/) | EAST 渗透测试框架的商用漏洞利用数据库
[Greysec](https://greysec.net) | 黑客与安全论坛
[Hackforums](https://hackforums.net/) | 发布黑客/漏洞利用/各种讨论的网站
标签:DAST, ESC8, YouTube安全频道, 信息搜集, 在线课程, 学习资源, 安全会议, 安全培训, 安全论坛, 恶意软件分析, 攻击技术, 数据展示, 渗透测试操作系统, 社会工程学, 离线资源, 红队, 网络安全, 防御加固, 防御实践, 隐私保护, 黑客技术