paragonie/awesome-appsec

# Awesome AppSec [](https://github.com/sindresorhus/awesome) 一份精选的用于学习应用安全的资源列表。包含书籍、 网站、博文以及自我评估测试。 由 [Paragon Initiative Enterprises](https://paragonie.com) 维护， 并接受了来自应用安全和开发者社区的贡献。我们还有 [其他社区项目](https://paragonie.com/projects)，这可能对未来的 应用安全专家有所帮助。 如果您是软件安全领域的绝对初学者，阅读 [A Gentle Introduction to Application Security](https://paragonie.com/blog/2015/08/gentle-introduction-application-security) 可能会对您有所帮助。 # 应用安全学习资源 * [通用](#general) * [文章](#articles) * [如何安全地生成随机数](#how-to-safely-generate-a-random-number-2014) (2014) * [加盐密码哈希 - 做对它](#salted-password-hashing-doing-it-right-2014) (2014) * [一个好主意却有着糟糕的用法：/dev/urandom](#a-good-idea-with-bad-usage-devurandom-2014) (2014) * [为什么要投资应用安全？](#why-invest-in-application-security-2015) (2015) * [警惕一次性密码本和其他加密独角兽](#be-wary-of-one-time-pads-and-other-crypto-unicorns-2015) (2015) * [书籍](#books) * [Web Application Hacker's Handbook](#-web-application-hackers-handbook-2011) (2011)  * [Cryptography Engineering](#-cryptography-engineering-2010) (2010)  * [Securing DevOps](#-securing-devops-2018) (2018)  * [Gray Hat Python: Programming for Hackers and Reverse Engineers](#-gray-hat-python-programming-for-hackers-and-reverse-engineers-2009) (2009)  * [The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities](#-the-art-of-software-security-assessment-identifying-and-preventing-software-vulnerabilities-2006) (2006)  * [C Interfaces and Implementations: Techniques for Creating Reusable Software](#-c-interfaces-and-implementations-techniques-for-creating-reusable-software-1996) (1996)  * [Reversing: Secrets of Reverse Engineering](#-reversing-secrets-of-reverse-engineering-2005) (2005)  * [JavaScript: The Good parts](#-javascript-the-good-parts-2008) (2008)  * [Windows Internals: Including Windows Server 2008 and Windows Vista, Fifth Edition ](#-windows-internals-including-windows-server-2008-and-windows-vista-fifth-edition-2007) (2007)  * [The Mac Hacker's Handbook](#-the-mac-hackers-handbook-2009) (2009)  * [The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler](#-the-ida-pro-book-the-unofficial-guide-to-the-worlds-most-popular-disassembler-2008) (2008)  * [Internetworking with TCP/IP Vol. II: ANSI C Version: Design, Implementation, and Internals (3rd Edition)](#-internetworking-with-tcpip-vol-ii-ansi-c-version-design-implementation-and-internals-3rd-edition-1998) (1998)  * [Network Algorithmics,: An Interdisciplinary Approach to Designing Fast Networked Devices](#-network-algorithmics-an-interdisciplinary-approach-to-designing-fast-networked-devices-2004) (2004)  * [Computation Structures (MIT Electrical Engineering and Computer Science)](#-computation-structures-mit-electrical-engineering-and-computer-science-1989) (1989)  * [Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection](#-surreptitious-software-obfuscation-watermarking-and-tamperproofing-for-software-protection-2009) (2009)  * [Secure Programming HOWTO](#secure-programming-howto-2015) (2015) * [Security Engineering - Third Edition](#security-engineering-third-edition-2020) (2020) * [Bulletproof SSL and TLS](#-bulletproof-ssl-and-tls-2014) (2014)  * [Holistic Info-Sec for Web Developers (Fascicle 0)](#holistic-info-sec-for-web-developers-fascicle-0-2016) (2016) * [Holistic Info-Sec for Web Developers (Fascicle 1)](#holistic-info-sec-for-web-developers-fascicle-1) * [课程](#classes) * [Offensive Computer Security (CIS 4930) FSU](#offensive-computer-security-cis-4930-fsu) * [Hack Night](#hack-night) * [网站](#websites) * [Hack This Site!](#hack-this-site) * [Enigma Group](#enigma-group) * [Web App Sec Quiz](#web-app-sec-quiz) * [SecurePasswords.info](#securepasswords-info) * [Security News Feeds Cheat-Sheet](#security-news-feeds-cheat-sheet) * [Open Security Training](#open-security-training) * [MicroCorruption](#microcorruption) * [The Matasano Crypto Challenges](#the-matasano-crypto-challenges) * [PentesterLab](#pentesterlab) * [Juice Shop](#juice-shop) * [Supercar Showdown](#supercar-showdown) * [OWASP NodeGoat](#owasp-nodegoat) * [Securing The Stack](#securing-the-stack) * [OWASP ServerlessGoat](#owasp-serverlessgoat) * [SecDim](#secdim) * [博客](#blogs) * [Crypto Fails](#crypto-fails) * [NCC Group - Blog](#ncc-group-blog) * [Scott Helme](#scott-helme) * [Cossack Labs blog](#cossack-labs-blog-2018) (2018) * [Wiki 页面](#wiki-pages) * [OWASP Top Ten Project](#owasp-top-ten-project) * [工具](#tools) * [Qualys SSL Labs](#qualys-ssl-labs) * [securityheaders.io](#securityheaders-io) * [report-uri.io](#report-uri-io) * [clickjacker.io](#clickjacker-io) * [AWS Lambda](#aws-lambda) * [工具](#tools-1) * [PureSec FunctionShield](#puresec-functionshield) * [Android](#android) * [书籍和电子书](#books-and-ebooks) * [SEI CERT Android Secure Coding Standard](#sei-cert-android-secure-coding-standard-2015) (2015) * [C](#c) * [书籍和电子书](#books-and-ebooks-1) * [SEI CERT C Coding Standard](#sei-cert-c-coding-standard-2006) (2006) * [Defensive Coding: A Guide to Improving Software Security by the Fedora Security Team](#defensive-coding-a-guide-to-improving-software-security-by-the-fedora-security-team-2025) (2025) * [C++](#c-1) * [书籍和电子书](#books-and-ebooks-2) * [SEI CERT C++ Coding Standard](#sei-cert-c-coding-standard-2006-1) (2006) * [C Sharp](#c-sharp) * [书籍和电子书](#books-and-ebooks-3) * [Security Driven .NET](#-security-driven-net-2015) (2015)  * [Clojure](#clojure) * [仓库](#repositories) * [Clojure OWASP](#clojure-owasp-2020) (2020) * [Go](#go) * [文章](#articles-1) * [Memory Security in Go - spacetime.dev](#memory-security-in-go-spacetime-dev-2017) (2017) * [Java](#java) * [书籍和电子书](#books-and-ebooks-4) * [SEI CERT Java Coding Standard](#sei-cert-java-coding-standard-2007) (2007) * [Secure Coding Guidelines for Java SE](#secure-coding-guidelines-for-java-se-2014) (2014) * [Node.js](#node-js) * [文章](#articles-2) * [Node.js Security Checklist - Rising Stack Blog](#node-js-security-checklist-rising-stack-blog-2015) (2015) * [Awesome Electron.js hacking & pentesting resources](#awesome-electron-js-hacking-pentesting-resources-2020) (2020) * [书籍和电子书](#books-and-ebooks-5) * [Essential Node.js Security](#-essential-node-js-security-2017) (2017)  * [培训](#training) * [Security Training by ^Lift Security](#-security-training-by-lift-security)  * [Security Training from BinaryMist](#-security-training-from-binarymist)  * [PHP](#php) * [文章](#articles-3) * [It's All About Time](#its-all-about-time-2014) (2014) * [Secure Authentication in PHP with Long-Term Persistence](#secure-authentication-in-php-with-long-term-persistence-2015) (2015) * [20 Point List For Preventing Cross-Site Scripting In PHP](#20-point-list-for-preventing-cross-site-scripting-in-php-2013) (2013) * [25 PHP Security Best Practices For Sys Admins](#25-php-security-best-practices-for-sys-admins-2011) (2011) * [PHP data encryption primer](#php-data-encryption-primer-2014) (2014) * [Preventing SQL Injection in PHP Applications - the Easy and Definitive Guide](#preventing-sql-injection-in-php-applications-the-easy-and-definitive-guide-2014) (2014) * [You Wouldn't Base64 a Password - Cryptography Decoded](#you-wouldnt-base64-a-password-cryptography-decoded-2015) (2015) * [A Guide to Secure Data Encryption in PHP Applications](#a-guide-to-secure-data-encryption-in-php-applications-2015) (2015) * [The 2018 Guide to Building Secure PHP Software](#the-2018-guide-to-building-secure-php-software-2017) (2017) * [书籍和电子书](#books-and-ebooks-6) * [Securing PHP: Core Concepts](#-securing-php-core-concepts)  * [Using Libsodium in PHP Projects](#using-libsodium-in-php-projects) * [实用的库](#useful-libraries) * [defuse/php-encryption](#defusephp-encryption) * [ircmaxell/password_compat](#ircmaxellpassword-compat) * [ircmaxell/RandomLib](#ircmaxellrandomlib) * [thephpleague/oauth2-server](#thephpleagueoauth2-server) * [paragonie/random_compat](#paragonierandom-compat) * [psecio/gatekeeper](#pseciogatekeeper) * [openwall/phpass](#openwallphpass) * [网站](#websites-1) * [websec.io](#websec-io) * [博客](#blogs-1) * [Paragon Initiative Enterprises Blog](#paragon-initiative-enterprises-blog) * [ircmaxell's blog](#ircmaxells-blog) * [Pádraic Brady's Blog](#p%C3%A1draic-bradys-blog) * [邮件列表](#mailing-lists) * [Securing PHP Weekly](#securing-php-weekly) * [Perl](#perl) * [书籍和电子书](#books-and-ebooks-7) * [SEI CERT Perl Coding Standard](#sei-cert-perl-coding-standard-2011) (2011) * [Python](#python) * [书籍和电子书](#books-and-ebooks-8) * [Python chapter of Fedora Defensive Coding Guide](#python-chapter-of-fedora-defensive-coding-guide) * [Black Hat Python: Python Programming for Hackers and Pentesters](#-black-hat-python-python-programming-for-hackers-and-pentesters)  * [Violent Python](#-violent-python)  * [网站](#websites-2) * [OWASP Python Security Wiki](#owasp-python-security-wiki-2014) (2014) * [Ruby](#ruby) * [书籍和电子书](#books-and-ebooks-9) * [Secure Ruby Development Guide](#secure-ruby-development-guide-2014) (2014) # 通用 ## 文章 ### [如何安全地生成随机数](http://sockpuppet.org/blog/2014/02/25/safely-generate-random-numbers/) (2014) **发布日期**：2014年2月25日 关于密码学安全的伪随机数生成器的建议。 ### [加盐密码哈希 - 做对它](https://crackstation.net/hashing-security.htm) (2014) **发布日期**：2014年8月6日 发布在 [Crackstation](https://crackstation.net) 上的一篇文章，该项目由 [Defuse Security](https://defuse.ca) 创建 ### [一个好主意却有着糟糕的用法：/dev/urandom](http://insanecoding.blogspot.co.uk/2014/05/a-good-idea-with-bad-usage-devurandom.html) (2014) **发布日期**：2014年5月3日 提到了许多导致 `/dev/urandom` 在 Linux/BSD 上失效的方法。 ### [为什么要投资应用安全？](https://paragonie.com/white-paper/2015-why-invest-application-security) (2015) **发布日期**：2015年6月21日 经营企业需要有成本意识并尽量减少不必要的开支。保障应用程序安全所带来的好处对大多数公司来说是不可见的，因此他们经常为了节省成本而忽视对安全软件开发的投资。这些公司没有意识到的是，一次可预防的数据泄露可能会带来潜在的巨大成本（包括财务损失和品牌声誉受损）。 **平均而言，一次数据泄露会造成数百万美元的损失。** 投入更多的时间和人员来开发安全软件，对于大多数公司来说是值得的，因为这能将其对利润底线的意外风险降至最低。 ### [警惕一次性密码本和其他加密独角兽](https://freedom-to-tinker.com/blog/jbonneau/be-wary-of-one-time-pads-and-other-crypto-unicorns/) (2015) **发布日期**：2015年3月25日 任何想要构建自己的密码学功能的人的**必读之作**。 ## 书籍###  [Web Application Hacker's Handbook](http://mdsec.net/wahh) (2011) **发布日期**：2011年9月27日 Web 应用安全的绝佳入门书；尽管内容有些过时。 ###  [Cryptography Engineering](http://www.amazon.com/Cryptography-Engineering-Principles-Practical-Applications/dp/0470474246) (2010) **发布日期**：2010年3月15日 在介绍密码学设计技术的同时，培养一种专业的“偏执”意识。 ###  [Securing DevOps](https://www.manning.com/books/securing-devops?a_aid=securingdevops&a_bid=1353bcd8) (2018) **发布日期**：2018年3月1日 《Securing DevOps》探讨了如何将 DevOps 和安全的技术结合应用，以使云服务更加安全。这本入门书回顾了在保护 Web 应用程序及其基础设施方面使用的最新实践，并教授您如何将安全直接集成到您的产品中。 ###  [Gray Hat Python: Programming for Hackers and Reverse Engineers](http://www.amazon.com/Gray-Hat-Python-Programming-Engineers/dp/1593271921) (2009) **发布日期**：2009年5月3日 ###  [The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities](http://www.amazon.com/The-Software-Security-Assessment-Vulnerabilities/dp/0321444426/) (2006) **发布日期**：2006年11月30日 ###  [C Interfaces and Implementations: Techniques for Creating Reusable Software](http://www.amazon.com/Interfaces-Implementations-Techniques-Creating-Reusable/dp/0201498413/) (1996) **发布日期**：1996年8月30日 ###  [Reversing: Secrets of Reverse Engineering](http://www.amazon.com/Reversing-Secrets-Engineering-Eldad-Eilam/dp/0764574817) (2005) **发布日期**：2005年4月15日 ###  [JavaScript: The Good parts](http://www.amazon.com/JavaScript-Good-Parts-Douglas-Crockford/dp/0596517742) (2008) **发布日期**：2008年5月1日 ###  [Windows Internals: Including Windows Server 2008 and Windows Vista, Fifth Edition ](http://www.amazon.com/Windows%C2%AE-Internals-Including-Developer-Reference/dp/0735625301) (2007) **发布日期**：2007年6月17日 ###  [The Mac Hacker's Handbook](http://www.amazon.com/The-Hackers-Handbook-Charlie-Miller/dp/0470395362) (2009) **发布日期**：2009年3月3日 ###  [The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler](http://www.amazon.com/The-IDA-Pro-Book-Disassembler/dp/1593271786) (2008) **发布日期**：2008年8月22日 ###  [Internetworking with TCP/IP Vol. II: ANSI C Version: Design, Implementation, and Internals (3rd Edition)](http://www.amazon.com/Internetworking-TCP-Vol-Implementation-Internals/dp/0139738436) (1998) **发布日期**：1998年6月25日 ###  [Network Algorithmics,: An Interdisciplinary Approach to Designing Fast Networked Devices](http://www.amazon.com/Network-Algorithmics-Interdisciplinary-Designing-Networking/dp/0120884771) (2004) **发布日期**：2004年12月29日 ###  [Computation Structures (MIT Electrical Engineering and Computer Science)](http://www.amazon.com/Computation-Structures-Electrical-Engineering-Computer/dp/0262231395) (1989) **发布日期**：1989年12月13日 ###  [Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection](http://www.amazon.com/Surreptitious-Software-Obfuscation-Watermarking-Tamperproofing/dp/0321549252) (2009) **发布日期**：2009年8月3日 ### [Secure Programming HOWTO](http://www.dwheeler.com/secure-programs/) (2015) **发布日期**：2015年3月1日 ### [Security Engineering - Third Edition](https://www.cl.cam.ac.uk/~rja14/book.html) (2020) **发布日期**：2020年11月1日 ###  [Bulletproof SSL and TLS](https://www.feistyduck.com/books/bulletproof-ssl-and-tls/) (2014) **发布日期**：2014年8月1日 ### [Holistic Info-Sec for Web Developers (Fascicle 0)](https://leanpub.com/holistic-infosec-for-web-developers) (2016) **发布日期**：2016年9月17日 三部分系列书籍的第一部分，广泛而深入地涵盖了 Web 开发人员和架构师为了创建健壮、可靠、可维护和安全的软件、网络及其他产品所需要知道的内容，以实现持续、按时交付且不出现任何意外。 ### [Holistic Info-Sec for Web Developers (Fascicle 1)](https://leanpub.com/holistic-infosec-for-web-developers-fascicle1-vps-network-cloud-webapplications) 三部分系列书籍的第二部分，广泛而深入地涵盖了 Web 开发人员和架构师为了创建健壮、可靠、可维护和安全的软件、VPS、网络、云和 Web 应用程序所需要知道的内容，以实现持续、按时交付且不出现任何意外。 ## 课程 ### [Offensive Computer Security (CIS 4930) FSU](https://www.cs.fsu.edu/~redwood/OffensiveComputerSecurity/) 由佛罗里达州立大学的 Owen Redwood 教授的漏洞研究和漏洞利用开发课程。 **务必查看 [讲座内容](https://www.cs.fsu.edu/~redwood/OffensiveComputerSecurity/lectures.html)！** ### [Hack Night](https://github.com/isislab/Hack-Night) Hack Night 的内容由纽约大学 Poly理工学院旧的“渗透测试和漏洞分析”课程材料发展而来，是对攻击性（ Offensive ）安全的一段令人清醒的入门介绍。在十三周的时间内，随着学生接触到各种复杂且身临其境的主题，课程将非常快速地涵盖大量复杂的技术内容。 ## 网站 ### [Hack This Site!](http://www.hackthissite.org) 通过尝试攻击这个网站来学习应用安全。 ### [Enigma Group](http://www.enigmagroup.org) 黑客和安全专家聚集并接受训练的地方。 ### [Web App Sec Quiz](https://timoh6.github.io/WebAppSecQuiz/) Web 应用安全的自我评估测试。 ### [SecurePasswords.info](https://securepasswords.info) 多种语言/框架的安全密码介绍。 ### [Security News Feeds Cheat-Sheet](http://lzone.de/cheat-sheet/Security-News-Feeds) 安全新闻来源列表。 ### [Open Security Training](http://opensecuritytraining.info/) 有关底层 x86 编程、黑客攻击和取证的系列视频课程。 ### [MicroCorruption](https://microcorruption.com/login) 夺旗赛 (Capture The Flag) - 学习汇编和嵌入式设备安全。 ### [The Matasano Crypto Challenges](http://cryptopals.com) 由 [Matasano Security](http://matasano.com) 提供的一系列用于自学密码学的编程练习。由 Maciej Ceglowski 撰写的 [导言](https://blog.pinboard.in/2013/04/the_matasano_crypto_challenges) 对其进行了很好的解释。 ### [PentesterLab](https://pentesterlab.com) PentesterLab 提供了[免费的动手练习](https://pentesterlab.com/exercises/)和[训练营](https://pentesterlab.com/bootcamp/)供初学者入门。 ### [Juice Shop](https://bkimminich.github.io/juice-shop) 一个故意留下漏洞的 JavaScript Web 应用程序。 ### [Supercar Showdown](http://hackyourselffirst.troyhunt.com/) 如何在网络攻击者动手之前先发制人。 ### [OWASP NodeGoat](https://github.com/owasp/nodegoat) 一个故意留有 OWASP Top 10 漏洞的 Node.JS Web 应用程序，提供 [教程](https://nodegoat.herokuapp.com/tutorial)、[使用 OWASP Zap API 进行安全回归测试](https://github.com/OWASP/NodeGoat/wiki/NodeGoat-Security-Regression-tests-with-ZAP-API)、[Docker 镜像](https://github.com/owasp/nodegoat#option-3---run-nodegoat-on-docker)。并提供了多种选项以便您快速启动并运行。 ### [Securing The Stack](https://securingthestack.com) 每两周发布一次的 AppSec 教程。 ### [OWASP ServerlessGoat](https://www.owasp.org/index.php/OWASP_Serverless_Goat) OWASP ServerlessGoat 是一个故意留下漏洞且逼真的 AWS Lambda 无服务器应用程序，由 OWASP 维护并由 [PureSec](https://www.puresec.io/) 创建。您可以安装 WebGoat，了解漏洞情况、如何利用它们以及如何修复每个问题。该项目还包含解释这些问题的文档以及应如何通过最佳实践来修复它们。 ### [SecDim](https://secdim.com) SecDim 是一个 AppSec 寓教于乐平台，通过免费的基于 Git 的实验来[学习](https://learn.secdim.com) AppSec。认为自己具备构建安全应用的能力吗？通过 AppSec 游戏来[挑战自己](https://play.secdim.com)吧！修复漏洞，获得积分并让您的名字登上排行榜。 ### 博客 #### [Crypto Fails](http://cryptofails.com) 展示糟糕的密码学实践 #### [NCC Group - Blog](https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/) NCC Group 的博客，前身为 Matasano、iSEC Partners 和 NGS Secure。 #### [Scott Helme](https://scotthelme.co.uk) 学习安全和性能相关知识。 #### [Cossack Labs blog](https://www.cossacklabs.com/blog-archive/) (2018) **发布日期**：2018年7月30日 一家制造开源库和工具的密码学公司的博客，描述了针对应用程序和基础设施的实用数据安全方法。 ### Wiki 页面 #### [OWASP Top Ten Project](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) Web 应用程序中最常见和最关键的十大安全漏洞。 ### 工具 #### [Qualys SSL Labs](https://www.ssllabs.com/) 著名的 SSL 和 TLS 工具套件。 #### [securityheaders.io](https://securityheaders.io/) 快速、轻松地评估您的 HTTP 响应头的安全性。 #### [report-uri.io](https://report-uri.io) 免费的 CSP 和 HPKP 报告服务。 #### [clickjacker.io](https://clickjacker.io) 测试和学习点击劫持 (Clickjacking)。制作点击劫持 PoC，截屏并分享链接。您可以测试 HTTPS、HTTP、Intranet 和内部站点。 # AWS Lambda ## 工具 ### [PureSec FunctionShield](https://www.puresec.io/function-shield) FunctionShield 是一个 100% 免费的 AWS Lambda 安全和 Google Cloud Functions 安全库，它为开发人员提供了在无服务器 runtime 中轻松执行严格安全控制的能力。 # Android ## 书籍和电子书 ### [SEI CERT Android Secure Coding Standard](https://www.securecoding.cert.org/confluence/display/android/Android+Secure+Coding+Standard) (2015) **发布日期**：2015年2月24日 一个由社区维护的 Wiki，详细介绍了 Android 开发的安全编码标准。 # C ## 书籍和电子书 ### [SEI CERT C Coding Standard](https://www.securecoding.cert.org/confluence/display/c/SEI+CERT+C+Coding+Standard) (2006) **发布日期**：2006年5月24日 一个由社区维护的 Wiki，详细介绍了 C 编程的安全编码标准。 ### [Defensive Coding: A Guide to Improving Software Security by the Fedora Security Team](https://docs.fedoraproject.org/en-US/Fedora_Security_Team/1/html/Defensive_Coding/index.html) (2025) **发布日期**：2025年2月22日 通过安全编码提供改善软件安全性的指南。涵盖了常见的编程语言和库，并侧重于具体的建议。 # C++ ## 书籍和电子书 ### [SEI CERT C++ Coding Standard](https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=637) (2006) **发布日期**：2006年7月18日 一个由社区维护的 Wiki，详细介绍了 C++ 编程的安全编码标准。 # C Sharp ## 书籍和电子书 ###  [Security Driven .NET](http://securitydriven.net/) (2015) **发布日期**：2015年7月14日 开发针对 .NET Framework 4.5 版本的安全应用程序的介绍，专门涵盖密码学和安全工程主题。 # Clojure ## 仓库 ### [Clojure OWASP](https://github.com/nubank/clj-owasp) (2020) **发布日期**：2020年5月5日 包含 OWASP Top 10 漏洞 Clojure 示例的代码仓库。 # Go ## 文章 ### [Memory Security in Go - spacetime.dev](https://spacetime.dev/memory-security-go) (2017) **发布日期**：2017年8月3日 一份关于在内存中管理敏感数据的指南。 # Java ## 书籍和电子书 ### [SEI CERT Java Coding Standard](https://www.securecoding.cert.org/confluence/display/java/SEI+CERT+Oracle+Coding+Standard+for+Java) (2007) **发布日期**：2007年1月12日 一个由社区维护的 Wiki，详细介绍了 Java 编程的安全编码标准。 ### [Secure Coding Guidelines for Java SE](http://www.oracle.com/technetwork/java/seccodeguide-139067.html) (2014) **发布日期**：2014年4月2日 直接来自 Oracle 的安全 Java 编程指南。 # Node.js ## 文章 ### [Node.js Security Checklist - Rising Stack Blog](https://blog.risingstack.com/node-js-security-checklist/) (2015) **发布日期**：2015年10月13日 涵盖了大量用于开发安全 Node.js 应用程序的实用信息。 ### [Awesome Electron.js hacking & pentesting resources](https://github.com/doyensec/awesome-electronjs-hacking) (2020) **发布日期**：2020年6月17日 一份精选的用于保护基于 Electron.js 应用程序安全的资源列表。 ## 书籍和电子书 ###  [Essential Node.js Security](https://leanpub.com/nodejssecurity) (2017) **发布日期**：2017年7月19日 实践性强且包含丰富源代码，是保护 Node.js Web 应用程序安全的实用指南。 ## 培训 ###  [Security Training by ^Lift Security](https://liftsecurity.io/training) 向牵头创建 [Node Security Project]() 的团队学习。 ###  [Security Training from BinaryMist](https://blog.binarymist.net/presentations-publications/) 我们提供多种类型的信息安全培训，涵盖物理安全、人员、VPS、网络、云和 Web 应用。大部分内容来自 Kim 撰写了数年的[系列书籍](https://leanpub.com/b/holisticinfosecforwebdevelopers)。更多信息可以在[这里](https://binarymist.io/#services)找到。 # PHP ## 文章 ### [It's All About Time](http://blog.ircmaxell.com/2014/11/its-all-about-time.html) (2014) **发布日期**：2014年11月28日 关于 PHP 应用程序中计时攻击 (Timing Attacks) 的温和导论。 ### [Secure Authentication in PHP with Long-Term Persistence](https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence) (2015) **发布日期**：2015年4月21日 讨论了密码策略、密码存储、“记住我” Cookie 和账户恢复。 ### [20 Point List For Preventing Cross-Site Scripting In PHP](http://blog.astrumfutura.com/2013/04/20-point-list-for-preventing-cross-site-scripting-in-php) (2013) **发布日期**：2013年4月22日 Padriac Brady 关于构建不易受 XSS 攻击的软件的建议。 ### [25 PHP Security Best Practices For Sys Admins](http://www.cyberciti.biz/tips/php-security-best-practices-tutorial.html) (2011) **发布日期**：2011年11月23日 尽管这篇文章已经发表了几年，但在我们即将迈向 PHP 7 之际，其中的大部分建议仍然具有参考价值。 ### [PHP data encryption primer](https://timoh6.github.io/2014/06/16/PHP-data-encryption-cheatsheet.html) (2014) **发布日期**：2014年6月16日 @timoh6 讲解了在 PHP 中实现数据加密。 ### [Preventing SQL Injection in PHP Applications - the Easy and Definitive Guide](https://paragonie.com/blog/2015/05/preventing-sql-injection-in-php-applications-easy-and-definitive-guide) (2014) **发布日期**：2014年5月26日 **太长不看** - 不要使用转义，请使用 prepared statements ！ ### [You Wouldn't Base64 a Password - Cryptography Decoded](https://paragonie.com/blog/2015/08/you-wouldnt-base64-a-password-cryptography-decoded) (2015) **发布日期**：2015年8月7日 以人类易读的方式概述了常被误用的密码学术语和基本概念，并附有 PHP 示例代码。 如果您对密码学术语感到困惑，请从这里开始。 ### [A Guide to Secure Data Encryption in PHP Applications](https://paragonie.com/white-paper/2015-secure-php-data-encryption) (2015) **发布日期**：2015年8月2日 讨论了端到端网络层加密 (HTTPS) 以及静态数据的安全加密的重要性，随后介绍了开发人员在特定用例中应该使用的特定密码学工具，无论他们使用的是 [libsodium](https://pecl.php.net/package/libsodium)、[Defuse Security 的安全 PHP 加密库](https://github.com/defuse/php-encryption) 还是 OpenSSL。 ### [The 2018 Guide to Building Secure PHP Software](https://paragonie.com/blog/2017/12/2018-guide-building-secure-php-software) (2017) **发布日期**：2017年12月12日 本指南应作为电子书 [PHP: The Right Way](http://www.phptherightway.com) 的补充，重点强调安全性而非一般的 PHP 编程主题（例如代码风格）。 ## 书籍和电子书 ###  [Securing PHP: Core Concepts](https://leanpub.com/securingphp-coreconcepts) *Securing PHP: Core Concepts* 作为一本指南，介绍了一些最常见的安全术语，并提供了在日常 PHP 中应用它们的一些示例。 ### [Using Libsodium in PHP Projects](https://paragonie.com/book/pecl-libsodium) 开发安全的 Web 应用程序不需要拥有应用密码学博士学位。引入 libsodium，它允许开发人员开发快速、安全和可靠的应用程序，而无需了解什么是流密码 (stream cipher)。 ## 实用的库 ### [defuse/php-encryption](https://github.com/defuse/php-encryption) 用于 PHP 应用程序的对称密钥加密库。 (**推荐** 使用，好过你自己写一个！) ### [ircmaxell/password_compat](https://github.com/ircmaxell/password_compat) 如果您正在使用 PHP 5.3.7+ 或 5.4，请使用此库来哈希密码。 ### [ircmaxell/RandomLib](https://github.com/ircmaxell/RandomLib) 适用于生成随机字符串或数字。 ### [thephpleague/oauth2-server](https://github.com/thephpleague/oauth2-server) 一个安全的 OAuth2 服务器实现。 ### [paragonie/random_compat](https://github.com/paragonie/random_compat) PHP 7 提供了一组新的 CSPRNG 函数：`random_bytes()` 和 `random_int()`。这是一项社区成果，旨在向 PHP 5 项目中开放相同的 API（向前兼容层）。采用宽松的 MIT 许可证。 ### [psecio/gatekeeper](https://github.com/psecio/gatekeeper) 一个安全的身份验证和授权库，实现了基于角色的访问控制 (RBAC) 以及 Paragon Initiative Enterprises 针对[安全的“记住我”复选框](https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence#title.2)所提供的建议。 ### [openwall/phpass](http://www.openwall.com/phpass/) 一个可移植的公共领域密码哈希框架，适用于 PHP 应用程序。 ## 网站 ### [websec.io](http://websec.io) **websec.io** 致力于向开发人员普及安全知识，其主题涵盖了一般安全基础知识、新兴技术以及 PHP 专有信息。 ### 博客 #### [Paragon Initiative Enterprises Blog](https://paragonie.com/blog/) 我们位于佛罗里达州奥兰多的技术和安全咨询公司的博客。 #### [ircmaxell's blog](http://blog.ircmaxell.com) 一个关于 PHP、安全、性能和通用 Web 应用程序开发的博客。 #### [Pádraic Brady's Blog](http://blog.astrumfutura.com) Pádraic Brady 是一名 Zend Framework 安全专家。 ### 邮件列表 #### [Securing PHP Weekly](http://securingphp.com) 一份关于 PHP、安全和社区的每周简报。 # Perl ## 书籍和电子书 ### [SEI CERT Perl Coding Standard](https://www.securecoding.cert.org/confluence/display/perl/SEI+CERT+Perl+Coding+Standard) (2011) **发布日期**：2011年1月10日 一个由社区维护的 Wiki，详细介绍了 Perl 编程的安全编码标准。 # Python ## 书籍和电子书 ### [Python chapter of Fedora Defensive Coding Guide](https://docs.fedoraproject.org/en-US/defensive-coding/programming-languages/Python/) 列出了应避免使用的标准库功能，并引用了其他章节中特定于 Python 的小节。 ###  [Black Hat Python: Python Programming for Hackers and Pentesters](https://www.nostarch.com/blackhatpython) 由 NoStarch Press 出版、Justin Seitz 编写的《Black Hat Python》是一本非常适合具有攻击性安全思维读者的好书。 ###  [Violent Python](http://www.amazon.com/Violent-Python-Cookbook-Penetration-Engineers/dp/1597499579) 《Violent Python》向您展示了如何从对攻击性计算概念的理论理解转向实际实施。 ## 网站 ### [OWASP Python Security Wiki](https://github.com/ebranca/owasp-pysec/wiki) (2014) **发布日期**：2014年6月21日 由 OWASP Python Security 项目维护的 Wiki。 # Ruby ## 书籍和电子书 ### [Secure Ruby Development Guide](https://docs.fedoraproject.org/en-US/Fedora_Security_Team/1/html/Secure_Ruby_Development_Guide/index.html) (2014) **发布日期**：2014年3月10日 由 Fedora 安全团队编写的安全 Ruby 开发指南。也可在 [Github](https://github.com/jrusnack/secure-ruby-development-guide) 上获取。

标签：AES-256, AppSec, C2框架, CISA项目, DevSecOps, ffuf, JS文件枚举, MITM代理, TLS抓取, Web安全, XML 请求, 上游代理, 书籍推荐, 云资产清单, 哈希安全, 学习路线, 安全博客, 安全学习资源, 安全开发, 安全文章, 安全测试, 密码学, 手动系统调用, 攻击性安全, 日志审计, 漏洞评估, 网络安全, 蓝队分析, 软件安全, 逆向工具, 逆向工程, 防御加固, 随机数安全, 隐私保护