因為工作的關系,之前收集過的一些比較不錯的關于安全方面知識和實踐的網(wǎng)站資源智玻,統(tǒng)一放在這篇文章里,方便大家查閱芙代。還沒有想好如何更好的分門別類吊奢,所以,暫時凌亂的放著吧纹烹。
Android
移動端页滚,特別是安卓接觸的時間和機會較多,所以我優(yōu)先說說安卓下的安全網(wǎng)站資源和項目铺呵。
APK爬蟲
如果是分析安卓應用的安全問題裹驰,那么第一步應該是:獲取大量的app來分析啰!我們一般會編寫爬蟲來獲取大量的app信息以及文件陪蜻。
WebAPKCrawler
playdrone-kitchen
google play crawler
android apps crawler
google play api
應用行為分析
拿到app后做什么呢邦马?行為分析呀!
Intent Analysis
Soot infoflow
NDroid 動態(tài)數(shù)據(jù)流分析
uiautomator
mobile sandbox tools
AndroidViewClient
Introspy-Android
APKSmash 在APK中尋找敏感信息
androwarn 簡單數(shù)據(jù)流分析
逆向調試
必要的時候宴卖,對于一些復雜的行為滋将,很難從黑盒分析方式得到實質,所以需要反編譯看代碼或者動態(tài)調試分析行為症昏。
android lkms
ZjDroid
adbkit
NinjaDroid
android-scripts
jadx dex to java
Luyten
google版的dex2jar
鉤子
給目標系統(tǒng)或者目標應用掛鉤子随闽,是一種相對高階并且非侵入的分析辦法,相對于暴力破解/分析來說肝谭,當然掘宪,鉤子是雙向的蛾扇,進可攻,退可守魏滚。
ZHookLib
Android-Rootkit
hooker
adbi
ddi
ldpreloadhook
Xposed
XposedInstaller
redexer Dalvik instrumentation
inDroid
IGLogger
Disabler
廣告檢測
廣告行為分析镀首。
ADDetector
應用加固
安全的大方向,除了攻鼠次,便是防更哄。加固說的通俗點就是給系統(tǒng)或者應用穿盔甲,執(zhí)盾牌腥寇。
AndroidObfuscation-NDK
obfuscator
dehorser
模擬器檢測與對抗
攻擊者很多時候為了大規(guī)模自動化攻擊成翩,可能會用模擬器。比如變換ip地址赦役,變換imsi/imei號碼刷接口等惡意操作麻敌,所以,模擬器的監(jiān)測和防護掂摔,是一種比較重要的保護手段术羔。畢竟,普通的用戶一般不會拿模擬器來訪問app的內容棒呛。
AndroidEmulatorDetection
anti-emulator
重打包檢測
攻擊者破解目標應用插入惡意代碼后重新打包并發(fā)布到渠道聂示,誘導用戶下載安裝使之中招,這是一種比較低劣且常見的攻擊方式簇秒,需要有效的監(jiān)測并防止鱼喉。(重打包不一定是為了散布惡意軟件或者病毒木馬,也可能是為了動態(tài)調試目標應用的目的趋观,比如競品分析之類扛禽,所以也是一種反惡意調試的盾)
FSquaDRA
漏洞POC及修復
利用系統(tǒng)以及應用漏洞,可以用來制作病毒木馬皱坛,散布惡意程序编曼,竊取用戶隱私。也可以用來保護系統(tǒng)以及應用剩辟。更可以用來完成一些不可能完成的任務掐场。刀在這里,殺人贩猎,救人熊户,還是變魔術,看你自己了吭服。
FakeId
AndroidZipArbitrage
偽基站檢測
偽基站好比一家黑店嚷堡,你進去買東西(上網(wǎng)購物),焉有有不挨宰(黑)的道理艇棕? 最可恨的是蝌戒,這家黑店是無形的串塑,看不見摸不著,賬戶上的錢不見了北苟,可能還沒有意識到桩匪。
Android IMSI Catcher Detector
其他
安卓每個版本的android.jar收集
模擬手機獲取android_id
安卓應用分發(fā)列表,包括官方市場渠道以及來自中國大陸粹淋,臺灣和俄羅斯的第三方分發(fā)市場以及渠道
Cloud Xiao整理的安全資源列表
android-security-awesome
2016 黑客的 Android 工具箱都有哪些吸祟?
Hacked Team
A database of published security advisories reported by the Programa STIC Team at Fundación Sadosky
OSX & iOS
Web以及服務端安全
國內
t00ls
<?php $head = "80vul";
Worm.cc
FreeBuf.COM 關注黑客與極客
Sebug漏洞庫: 漏洞目錄、安全文檔桃移、漏洞趨勢
網(wǎng)絡安全攻防研究室
SecWiki-安全維基,匯集國內外優(yōu)秀安全資訊、工具和網(wǎng)站
騰訊安全應急響應中心
黑吧安全網(wǎng) - 中國最早的IT技術門戶網(wǎng) 成就IT精英 網(wǎng)絡安全
看雪安全論壇
WooYun知識庫
WooYun.org | 自由平等開放的漏洞報告平臺
吾愛破解論壇-LCG-LSG|軟件安全
國外
exp漏洞庫
路由器漏洞專區(qū)
Paper匯總
..:: Corelan Team
ha.ckers.org web application security lab
SpiderLabs Anterior
CVE - Common Vulnerabilities and Exposures (CVE)
http://http://news.hitb.org/
Home | Sucuri Blog
Help Net Security
Blogs | The Honeynet Project
We Are Legion
The Hacker News
Threatpost | The first stop for security news
www.ex-parrot.com
Ctrlbox.com
AnonNews.org : Everything Anonymous
http://sla.ckers.org/forum/
Hack This Site Forum ? Index page
Awesome Security
application security
Awesome CTF
Awesome Malware Analysis
Awesome Hacking
Awesome Honeypots
awesome-incident-response
A practical security guide for web developers
