滲透測試是尋找能夠用來攻擊應(yīng)用程序、網(wǎng)絡(luò)和系統(tǒng)的漏洞的過程，其目的是檢測會(huì)被黑客攻擊的安全脆弱點(diǎn)。滲透測試可以檢測如下內(nèi)容：系統(tǒng)對攻擊的反應(yīng)，存在哪些會(huì)被攻擊的脆弱點(diǎn)，如果有，系統(tǒng)中哪些數(shù)據(jù)會(huì)被竊取。

關(guān)于滲透測試

不要將滲透測試等同于簡單的漏洞掃描或者安全審計(jì)，它還要除此之外的工作。滲透測試有助于尋找非常復(fù)雜的攻擊向量，找到在開發(fā)階段沒能檢測出來的漏洞。在遭到入侵之后，也常使用滲透測試，檢測攻擊者的攻擊方法，還原出攻擊方法，并阻止與此相同的攻擊。

滲透測試是一些安全審計(jì)的主要構(gòu)成部分，包括PCI-DSS規(guī)則，它要求對處理或保存支付信息的系統(tǒng)每年進(jìn)行滲透測試。滲透測試人員會(huì)協(xié)同使用人工和自動(dòng)測試，利用大量的工具進(jìn)行測試。

由于安全世界的動(dòng)態(tài)性，以及黑客的變化性，安全專家需要掌握最新的技術(shù)、工具和漏洞利用方法，以及滲透測試技術(shù)。應(yīng)用程序安全是一個(gè)新領(lǐng)域，物聯(lián)網(wǎng)、容器、云等新的安全風(fēng)險(xiǎn)不斷出現(xiàn)，滲透測試人員需要不斷更新自己的知識。

因此，我們提供13個(gè)最有用的滲透測試博客，幫你獲取最新知識，激勵(lì)你的白帽人生。其中一些有好幾年的滲透測試歷程了。他們都值得你關(guān)注和學(xué)習(xí)。

　　滲透測試博客和資源排名

Carnal0wnage

這個(gè)博客是由一個(gè)攻擊研究團(tuán)隊(duì)維護(hù)的，是滲透測試人員最好的信息來源之一，博客上發(fā)布了滲透測試技術(shù)、發(fā)現(xiàn)、新聞等等。該團(tuán)隊(duì)在Black Hat上開設(shè)了培訓(xùn)課程。

PentestGeek

2012年開始活躍，PentestGeek博客致力于分享作者的經(jīng)驗(yàn)。通過它也可以了解在大公司工作的經(jīng)驗(yàn)豐富的滲透測試者的每日工作。

Darknet

1999年從一個(gè)IRC頻道開始發(fā)展壯大，目前是一個(gè)定期更新的博客，討論最新的滲透測試新聞、工具和技術(shù)，有30,000多個(gè)用戶。

Lanmaster53

Tim Tomes維護(hù)的博客，Tim在博客中會(huì)詳細(xì)描述他的研究成果，博客內(nèi)容覆蓋從Linux Shells、DEFCON badge hacking到AppSec hacks。

Marco Ramilli

Marco是一個(gè)安全研究者和白帽黑客。他在教育界也很有名氣，在數(shù)十年的工作經(jīng)歷中擔(dān)任了各種教授和研究員職位。他的博客是對他的知識的擴(kuò)展，Macro在博客上記錄他發(fā)現(xiàn)的一些絕妙的技術(shù)。

Common Exploits

由Daniel Compton維護(hù)，他是有20年的透測試經(jīng)驗(yàn)的專家，Common Exploits旨在分享Daniel的技術(shù)，工具、漏洞利用方面的新聞，以及其它滲透測試領(lǐng)域的內(nèi)容。

SANS Penetration Testing Blog

SANS對于應(yīng)用程序安全方面的人來說是一個(gè)非常好的資源。這個(gè)博客上可以找到各種滲透測試任務(wù)和挑戰(zhàn)，用于測試你的能力，也會(huì)發(fā)布特定的滲透測試工具和技術(shù)。

Trail of Bits Blog

由維護(hù)Trails of Bits的團(tuán)隊(duì)寫的博客，這是一個(gè)在攻防領(lǐng)域都很專業(yè)的安全公司，這個(gè)博客收集了他們分享的知識，幫助企業(yè)改進(jìn)或修復(fù)安全問題。

DigiNinja

Digininja對滲透測試者來說是一個(gè)必須要知道的資源，主要關(guān)注Metasploit、Wifi和網(wǎng)絡(luò)，Digininja是信息安全領(lǐng)域的人必讀的網(wǎng)站。

Ethical Hacking LinkedIn Group

最好的獲取最新滲透測試新聞的辦法是，在你喜歡的社交網(wǎng)站中，加入到一個(gè)組里面或者關(guān)注滲透測試大牛。Ethical Hacking group是眾多社區(qū)中的一個(gè)，你可以加入并分享你自己的滲透測試資源。

EHacking.net

對所有滲透測試相關(guān)人員來說是一個(gè)非常棒的資源，Ehacking.net是又一個(gè)必須加入到書簽的網(wǎng)站。

Seclists.org

現(xiàn)在，依然有一部分信息安全社區(qū)依靠郵件列表獲取信息，盡管這看起來有些過時(shí)。Nmap Security Scanner人員運(yùn)營著Seclists.org網(wǎng)站，提供了受歡迎的郵件列表的清單。不管是菜鳥還是滲透測試專家都可以找到適合自己的郵件列表。

Kitploit

如果你在尋找特定類型的工具，你可以在Kitploit網(wǎng)站上找到。這里是滲透測試工具的寶庫，把它加入到你的書簽吧。

* 參考來源：checkmarx，felix編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）