batuhan-satilmis/awesome-appsec-resources

# 超棒的应用安全资源 [](https://awesome.re) [](./LICENSE) [](./CONTRIBUTING.md) 如果一项资源不能体现其价值，就会被移除。新条目只有在我亲自使用或评估后才会收录于此。 ## 目录 - [基础知识](#foundations) - [OWASP](#owasp) - [威胁建模](#threat-modeling) - [安全编码](#secure-coding) - [云安全](#cloud-security) - [身份与访问](#identity--access) - [密码学](#cryptography) - [工具 — SAST / DAST / SCA](#tooling--sast--dast--sca) - [工具 — 渗透测试](#tooling--pentesting) - [合规与 GRC](#compliance--grc) - [事件响应与取证](#incident-response--forensics) - [演讲与会议](#talks--conferences) - [新闻通讯与博客](#newsletters--blogs) - [CTF 与实践实验室](#ctfs--practice-labs) - [书籍](#books) ## 基础知识 - **[OWASP Application Security Verification Standard (ASVS)](https://owasp.org/www-project-application-security-verification-standard/)** — 定义“安全的 Web 应用”真正含义的黄金标准清单。 - **[NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)** — 识别 · 保护 · 检测 · 响应 · 恢复。这是合规和工程团队都在使用的模型。 - **[NIST SP 800-53](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)** — 详细的控制措施目录。选择性阅读；不要线性阅读。 - **[NIST SP 800-63B Digital Identity Guidelines](https://pages.nist.gov/800-63-3/sp800-63b.html)** — 关于密码和身份验证建议的权威来源。引经据典来反驳“我们不需要每季度轮换密码”的绝佳利器。 ## OWASP - **[OWASP Top 10 (2021)](https://owasp.org/Top10/)** — 年度必读。每个条目都是每周都会出现的漏洞类别。 - **[OWASP Cheat Sheet Series](https://cheatsheetseries.owasp.org/)** — 收藏这个。这是从“我有一个问题”到“这是答案”的最短路径。 - **[OWASP API Security Top 10](https://owasp.org/API-Security/editions/2023/en/0x00-header/)** — 针对 REST 的 Top 10 变体。与面向浏览器的应用相比，漏洞形态有所不同。 - **[OWASP SAMM](https://owasp.org/www-project-samm/)** — 软件保障成熟度模型。非常适合用于与领导层进行“我们接下来的发展方向”的对话。 ## 威胁建模 - **[Threat Modeling: Designing for Security](https://shostack.org/books/threat-modeling-book)** — Adam Shostack 的著作。权威经典。 - **[Microsoft Threat Modeling](https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats)** — STRIDE 定义与实践案例。 - **[Trail of Bits' Threat Model Examples](https://github.com/trailofbits/publications)** — 专业人士是如何撰写威胁模型的。 - **[我的 STRIDE 模板 →](https://github.com/batuhan-satilmis/threat-modeling-framework)** — 适用于常见 SaaS 模式的实用模板。 ## 安全编码 - **[我的 OWASP SaaS 加固指南 →](https://github.com/batuhan-satilmis/owasp-saas-hardening-guide)** — 基于 Node.js + React 的 OWASP Top 10 代码优先实战演练。 - **[Snyk Learn](https://learn.snyk.io/)** — 免费的互动课程；每节课都包含可运行的漏洞代码示例。 - **[Secure Coding Practices Quick Reference Guide (OWASP)](https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/)** - **[Mozilla Web Security Guidelines](https://infosec.mozilla.org/guidelines/web_security)** — 具体到 HTTP 头级别的安全指南。 ## 云安全 - **[CIS Benchmarks](https://www.cisecurity.org/cis-benchmarks)** — 针对 AWS、Azure、GCP、Kubernetes 和主要操作系统的加固基线。 - **[AWS Well-Architected — Security Pillar](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)** - **[Cloud Security Alliance — Cloud Controls Matrix](https://cloudsecurityalliance.org/research/cloud-controls-matrix/)** - **[Prowler](https://github.com/prowler-cloud/prowler)** — 跨 AWS / Azure / GCP / M365 的云配置审计工具。 - **[ScoutSuite](https://github.com/nccgroup/ScoutSuite)** — 多云配置扫描器。 - **[kube-bench](https://github.com/aquasecurity/kube-bench)** — Aqua 出品的 CIS Kubernetes Benchmark 检查工具。以 Pod 形式运行，审计 master 和 worker 配置，并返回每项控制的通过/失败结果。当我接手一个陌生的集群时，这是我首先会使用的工具。 - **[Cartography](https://github.com/cartography-cncf/cartography)** — 基于 Neo4j 的资产图，覆盖 AWS、GCP、Azure、GitHub、Okta 等。允许你查询关系（例如“哪些 IAM 用户可以访问哪些 S3 存储桶”），而无需在控制台标签页之间来回切换。 ## 身份与访问 - **[OAuth 2.0 Security Best Current Practice (RFC)](https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics)** — 2024 年及以后“正确实现 OAuth”的样貌。 - **[Auth0 Identity 101 series](https://auth0.com/learn)** — 带有商业性质，但解释得非常透彻。 - **[Microsoft — Zero Trust deployment guide](https://learn.microsoft.com/en-us/security/zero-trust/deploy/overview)** ## 密码学 - **[Cryptography Engineering (book)](https://www.schneier.com/books/cryptography-engineering/)** — Schneier、Ferguson、Kohno 合著。内容有深度且易读。 - **[Cryptopals Crypto Challenges](https://cryptopals.com/)** — 动手实践。它会教你为什么“自己编写密码学代码”是个坏主意。 - **[Latacora — Cryptographic Right Answers](https://www.latacora.com/blog/2018/04/03/cryptographic-right-answers/)** — 简短、具有强烈主张、让你避免犯错的指南。 ## 工具 — SAST / DAST / SCA - **[Semgrep](https://semgrep.dev/)** — 真正让人用得顺心的 SAST。支持使用 YAML 编写自定义规则。 - **[CodeQL](https://codeql.github.com/)** — GitHub 的 SAST。功能强大但学习曲线陡峭。 - **[Snyk](https://snyk.io/)** — SCA + SAST。对个人免费。 - **[OSV-Scanner](https://github.com/google/osv-scanner)** — 跨越多生态系统的开源漏洞扫描器。 - **[Socket](https://socket.dev/)** — 针对 JS/Python/Go 的供应链安全工具。不仅能发现 CVE，还能捕获恶意软件包。 - **[Gitleaks](https://github.com/gitleaks/gitleaks)** — 针对 Git 仓库及其历史的 Secret 扫描器。这款 pre-commit 钩子加 CI 作业能在泄露的 AWS 密钥、Stripe Secret 或数据库密码发布到生产环境之前将其捕获。支持使用 TOML 编写自定义规则。 - **[Trivy](https://github.com/aquasecurity/trivy)** — 面向容器镜像、文件系统、IaC（Terraform、CloudFormation、Kubernetes 清单）和 SBOM 的多合一扫描器。单一二进制文件；默认配置合理；是最简单的“今天就能接入 CI”的方案。 ## 工具 — 渗透测试 - **[Burp Suite](https://portswigger.net/burp)** — Web 渗透测试的主力工具。社区版免费。 - **[OWASP ZAP](https://www.zaproxy.org/)** — 开源 DAST。支持脚本化操作。 - **[Nmap](https://nmap.org/)** — 网络映射器。老牌、普及率高、不可替代。 - **[Nuclei](https://github.com/projectdiscovery/nuclei)** — 基于模板的漏洞扫描器。 - **[PortSwigger Web Security Academy](https://portswigger.net/web-security)** — 由 Burp 开发商提供的免费实战实验室。 ## 合规与 GRC - **[SOC 2 Trust Services Criteria](https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2)** — 准则本身。 - **[NIST CSF Quick Start Guides](https://www.nist.gov/cyberframework/quick-start-guides)** - **[CIS Critical Security Controls](https://www.cisecurity.org/controls)** — 优先级排序的基础控制措施列表。 - **[HIPAA Security Rule (HHS)](https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html)** — 真正的法规条文，而非供应商的解读。 - **[Vanta](https://www.vanta.com/), [Drata](https://drata.com/), [Secureframe](https://secureframe.com/)** — SOC 2 / ISO 27001 自动化平台（商业软件）。了解一下这类工具的存在也是有益的。 ## 事件响应与取证 - **[NIST SP 800-61 — Computer Security Incident Handling Guide](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)** — 大家都在引用的框架。 - **[我的事件响应剧本 →](https://github.com/batuhan-satilmis/incident-response-playbook)** — 遵循 NIST 800-61 标准的针对云凭证、BEC、勒索软件和数据外泄的 Runbook。 - **[CISA #StopRansomware](https://www.cisa.gov/stopransomware)** - **[Mandiant blog](https://cloud.google.com/blog/topics/threat-intelligence)** — 高质量的事件响应技术文章。 - **[The DFIR Report](https://thedfirreport.com/)** — 详细的现实世界事件分析。 - **[Velociraptor](https://docs.velociraptor.app/)** — 来自 Rapid7 的开源端点 DFIR 平台（最初是 Mike Cohen 在 GRR 之后的项目）。一台服务器即可使用 VQL 向数千台主机分发狩猎和持续收集任务——当你需要在安全事件中获得端点可见性时，这是一个现实可行且无需许可证费用的选择。 ## 演讲与会议 - **[DEF CON Media](https://media.defcon.org/)** — 数十年的演讲，全部免费。 - **[Black Hat Briefings (recordings)](https://www.youtube.com/@BlackHatOfficialYT)** - **[BSides](http://www.securitybsides.com/)** — 本地会议，通常具有最佳的性价比。 - **[RSA Conference video archive](https://www.rsaconference.com/library)** - **[OWASP AppSec conferences](https://owasp.org/events/)** ## 新闻通讯与博客 - **[Krebs on Security](https://krebsonsecurity.com/)** — 调查报道类。 - **[Schneier on Security](https://www.schneier.com/)** — 视野宽广。 - **[tl;dr sec](https://tldrsec.com/)** — 每周 AppSec 汇总；信息密度高。 - **[Risky Business](https://risky.biz/)** — 播客。 - **[Daniel Miessler — Unsupervised Learning](https://danielmiessler.com/subscribe/)** — 新闻通讯 + 播客。 ## CTF 与实践实验室 - **[PortSwigger Web Security Academy](https://portswigger.net/web-security)** — 最佳的实战 Web 安全培训，免费。 - **[HackTheBox](https://www.hackthebox.com/)** — 渗透测试实践实验室。 - **[TryHackMe](https://tryhackme.com/)** — 对初学者更友好。 - **[picoCTF](https://picoctf.org/)** — 面向初学者的全年 CTF。 - **[Damn Vulnerable Web Application (DVWA)](https://github.com/digininja/DVWA)** — 自行托管、刻意留有漏洞的 Web 应用。 ## 书籍 - **The Web Application Hacker's Handbook** — Stuttard & Pinto。关于 Web 渗透测试最深入的书籍；虽然版本较旧但依然实用。 - **Real-World Bug Hunting** — Peter Yaworski。包含技术细节的真实漏洞赏金故事。 - **Threat Modeling: Designing for Security** — Adam Shostack。 - **The Tangled Web** — Michal Zalewski。深入剖析浏览器实际的工作原理。 - **Cryptography Engineering** — Ferguson、Schneier、Kohno。 - **The Pragmatic Programmer** — 这不是一本安全书，而是一本塑造你如何交付安全软件的思维书。 ## 同一作者的相关仓库 - 🛡️ [forsman-crm-showcase](https://github.com/batuhan-satilmis/forsman-crm-showcase) — 生产级多租户 SaaS 的架构与安全展示。 - 📚 [owasp-saas-hardening-guide](https://github.com/batuhan-satilmis/owasp-saas-hardening-guide) — 基于 Node.js + React 的 OWASP Top 10 实战演练。 - 🎯 [threat-modeling-framework](https://github.com/batuhan-satilmis/threat-modeling-framework) — STRIDE 工作表 + 实用的 Python 工具。 - 🔍 [security-audit-toolkit](https://github.com/batuhan-satilmis/security-audit-toolkit) — NIST CSF / CIS 配置审计工具。 - 🚨 [incident-response-playbook](https://github.com/batuhan-satilmis/incident-response-playbook) — NIST 800-61 Runbook。 - ✅ [api-security-checklist](https://github.com/batuhan-satilmis/api-security-checklist) — 带有代码示例的 REST API 安全清单。 ## 贡献 欢迎提交 PR — 请参阅 [CONTRIBUTING.md](./CONTRIBUTING.md)。准入门槛：我必须亲自使用过它，或者有充分理由相信在职的 AppSec 从业者会用到它。 ## 许可证 [CC0 10 Universal](./LICENSE) — 公共领域 dedication。各取所需。

标签：CISA项目, DAST, IP 地址批量处理, meg, MITM代理, NIST, SAST, StruQ, Web安全, Windows内核, 人工智能安全, 信息安全, 合规性, 威胁建模, 子域名变形, 子域名突变, 安全架构, 安全测试, 安全编码, 密码学, 恶意软件分析, 手动系统调用, 攻击性安全, 数字取证, 漏洞利用检测, 白帽子, 盲注攻击, 网络安全, 网络安全研究, 自动化脚本, 蓝队分析, 请求拦截, 身份与访问管理, 逆向工具, 防御矩阵, 隐私保护