hashcat-gui-0.5.1.7z
hashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPGPU规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和Windows本地二进制文件),多平台(OpenCL和CUDA支持),多算法,资源利用率低,基于字典攻击。此为该程序的界面版本。
xray_run_with_burp.zip
xray 不开源,直接下载构建的二进制文件即可,仓库内主要为社区贡献的 poc,每次 xray 发布将自动打包。此脚本主要适合自动启动xray,然后进行burp配置。
AppScan10.0安装使用手册2020版.pdf
一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。AppScan10.0安装使用手册,最新版。从安装配置使用到手动探索,全程挖漏洞,轻松简单。
bsimm10-cn.docx(官方)
BSIMM 是对现实世界中软件安全计划开展多年研究的结果。BSIMM10 模型是我们基于从 122 家企业中观 察到的数据直接构建而成。本文在“致谢”部分列出了这些公司。(bsimm10-作者:Sammy Migues、John Steven
和 Mike Ware
)
区块链安全Top 10 2019.pdf
近几年,区块链技术的发展非常迅猛,安全形势也越来越严峻,仅安全事件导致的直接经济损失就高达 35 亿美元,很多公司甚至因此倒闭,给行业带来了巨额的经济损失和惨痛的教训。基于此,OWASP 中国成立专门研究小组,收集、整理和分析了 2011年至 2019 年间共 160 个典型区块链安全事件,并在本文档中给出了排列和描述,希望能帮助到广大的区块链从业者和关注区块链安全的人们。
NIST.SP.800-190容器安全指南.pdf
该文档的目的是解释与容器技术有关的安全问题, 并为规划、 实施和维护容器时解决这些问题提出切实可行的建议。组织机构应遵循这些建议, 以确保其容器技术的实施和使用安全:
hackbar_tPRO_v1.4.1.xpi
离线版hackbar,当前最新版本的hackbar需要购买授权码;可以采用旧版的Firefox和旧版的hackbar完成任务
2019企业安全威胁统一应对指南.pdf(带目录标签)
FreeBuf《2019企业安全威胁统一应对指南》企业安全需要基于信息安全大环境,结合企业所处行业、IT投入、业务需求等实际情况,参考可靠的安全架构体系,自上而下地建立能在企业内部落地的安全策略与安全流程。
CISSP ALL in one考试指南第8版
本文档是CISSP考试指南第8版,英文版本。该版本有目录书签,里面的内容可以复制,可以做笔记
微软网站IIS中的IP白名单黑名单实践
企业日常实践当中,当我们开设网站需要对某些黑名单IP端里面启用白名单,也就是说,允许其他网段访问,但是该网站需要禁止某个网段(10.10.0.0/16)IP访问,但是必须同时也允许10.10.10.10、10.10.11.11 访问网站,那么这时候我们应该如何对IIS 中的IP地址和域限制进行配置呢?
HTTP拒绝服务整改方案
缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。
sqlmap用户手册
当给sqlmap这么一个url的时候,它会:
1、判断可注入的参数
2、判断可以用那种SQL注入技术来注入
3、识别出哪种数据库
4、根据用户选择,读取哪些数据
中国网络安全厂商2018.docx
中国网络安全产品与厂商大全2018年最新版,可分为物理安全、网络安全、主机安全、应用安全、数据安全、移动安全、云安全、安全管理等产品。
ISO_IEC_27003_2017_cn中文版
ISO_IEC_27003_2017_cn中文版,当前为最新版,并且为中文版
ISO_IEC_27004-2016-en
ISO/IEC 27004-2016,当前为最新版,且为英文版本,仅供有需要的朋友
ISO/IEC_27002:2013信息安全控制实用规则.pdf
设计本国际标准作为组织基于 ISO/IEC 27001 的信息安全管理体系(ISMS)实施过
程中选择控制措施的参考,或作为组织实施通常被公认的信息安全控制措施的参考。本标准也适用于发展工业和组织具体的信息安全管理指导方针,考虑到他们具体的信息安全风险的环境。
ISO_IEC 27001_2013_Chinese_English_version v1.3.pdf
本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。
OWASP Zed2.7使用文档
OWASP Zed攻击代理(ZAP)是全球最受欢迎的免费安全工具之一,由数百名国际志愿者主动维护*。 它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 它也是经验丰富的测试者用于手动安全测试的好工具。
shell 命令综合使用
该脚本演示很多情况下sed 等工具的使用,可以参考使用
Owasp Testing Guide v4 中文版
Owasp Testing Guide v4 中文版提供了我们在日常web安全测试中指导方向,并且在安全测试中的安全思想。
商用密码产品认证业务指南(第一版:带目录标签)
如何办理申请商用密码产品认证,商用密码检测中心作为唯一商用密码产品认证机构,按照《商用密码产品认证目录(第一批)》和《商用密码产品认证规则》要求,开展国推自愿性商用密码产品认证工作。
附件1:商用密码产品认证目录(第一批).pdf
商用密码检测中心为企业(委托人)提供商用密码产品认证服务,符合 22 类认证实施细则要求的普通产品,此认证目录为22类的商用密码产品
xray run with burpsuite
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,此为xray联动burpsuite自动运行脚本:自动生成证书、按照日期自动备份历史报告。
BSIMM 11 应用安全的十二个最低参照基准.pdf
BSIMM11模型将121种不同的软件安全性指标归纳为四个主要领域:治理、情报、安全软件开发生命周期(SSDL)接触点和部署,企业可通过模型的专有标准对软件安全实践进行衡量。上述每个领域都可进一步细分为三个实践类别,其中包含从简单到非常成熟的众多活动。
Electron 安全检查清单.docx|Electron 安全检查清单.docx
Electron 基于 Chromium 和 Node.js, 让你可以使用 HTML, CSS 和 JavaScript 构建应用。此文为安全设计检查清单,security checklist
Web日志安全分析工具 v2.0.zip
web日志分析工具,支持IIS,nginx, httpd等,将日志从服务器下载,填入路径,即可进行自动化分析
PC客户端(cs架构)渗透测试
PC客户端(cs架构)渗透测试,本项目主要针对pc客户端(cs架构)渗透测试,结合自身测试经验和网络资料形成checklist,如有任何问题,欢迎联系,期待大家贡献更多的技巧和案例。
Web Service 渗透测试.docx
对机构、组织开放的Web应用、外部IP地址以及Web Service进行安全测试。在渗透测试中,我们看到Web Service的应用范围越来越多广,但人们在使用Web Service时,并没有特别关注安全问题。出于这个原因,人们部署的Web Service中经常会出现重大安全漏洞。
360星图攻击日志分析.zip
360星图日志分析工具,分析SQL注入、XSS等漏洞攻击日志,适配Tomcat、Apache、NGINX日志,适合已安装JDK的同学使用
永安在线-业务安全蓝军测评标准v2020.3.4(带标签)
永安在线-业务安全蓝军测评标准v2020.3.4,业务安全的目标通常不是杜绝攻击,而是将攻击流量的占比控制在可接受的范围内,平衡攻击损失与业务盈利间的关系,保证业务收益的最大化。当前,业务安全问题缺乏一套评估体系,能够数字化体系化的描述遭受攻击带来的危害程度及策略实施后的效果等
X-Frame-Options未配置漏洞修复参考v1.0.docx
X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。
恶意攻击者可以利用漏洞攻击做到:
击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
数据安全构建思维导图.xmind
数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕
信息系统和网络环境开展安全保护工作, 主要聚焦在信息安全和网络安全;而数据安全是以数据为核心,围绕数据安全生命周期进行建设以提高数据安全保障能力,所以需要与当前安全体系进行融合
内网安全检查总结.xmind
企业内网安全评估思路,基于红队的思路,对企业内网的安全问题进行一次全面的思考,本内容为思维导图,仅提供思路,不提供具体的实现方式。
OWASP软件保证成熟度模型v1.0-中文(带标签目录).pdf
OWASP软件保证成熟度模型v1.0中文版,附带书签目录,软件保证成熟度模型(SAMM) 是一个开放的框架,用以帮助组织制定并实施针对组织所面临来自软件安全的特定风险的策略。
CMMI(能力成熟度模型集成)V2.0.docx
CMMI的全称为Capability Maturity Model Integration,即能力成熟度模型集成。CMMI是CMM模型的最新版本。早期的CMMI(CMMI-SE/SW/IPPD),SEI在部分国家和地区开始推广和试用。随着应用的推广与模型本身的发展,演绎成为一种被广泛应用的综合性模型。
bsimm10-cn.pdf
BSIMM10 新增加的三项活动清晰地描述了一条轨迹:软件定义生命周期治理、软件定义资产创建的
软件辅助监控、以及软件定义基础架构的自动验证。这表明一些组织正在积极研究如何加快安全部
署,以跟上新功能的交付速度。
网上银行系统信息安全通用规范-2020(带书签目录).pdf
本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。
bsimm10-框架-记分卡-119项活动.xlsx
BSIMM 是对现实世界中软件安全计划开展多年研究的结果。BSIMM10 模型是我们基于从 122 家企业中观 察到的数据直接构建而成。本文在“致谢”部分列出了这些公司。
RSS订阅
20999
4
