Awesome
Security-Data-Analysis-and-Visualization
2018-2020青年安全圈-活跃技术博主/博客
声明
- 所有数据均来自且仅来自公开信息,未加入个人先验知识,如有疑义,请及时联系root@4o4notfound.org。
- 公开这批数据是为了大家一起更快更好地学习,请不要滥用这批数据,由此引发的问题,本人将概不负责。
- 对这批数据的分析文章首发在个人微信公众号,原文为:我分析了2018-2020年青年安全圈450个活跃技术博客和博主,转载请联系作者。
Why
- 最初目的:个人日常安全阅读资源不足,需要从博客、Github、Twitter等多个数据源补充。
- 延续目的:以人为核心,系统化收集博客、Github、当前主要研究方向、所属安全组织、学校、公司、RSS、知乎、微博、Email等信息,缩小安全圈的范围。
- 信息检索:通过关键字检索,方便找人,缩小人与人之间的交流障碍。比如通过高校关键字,可以快速找到校友,通过网络ID快速找到博主。
- 内容学习:例如从主要研究方向入手,Follow不同方向活跃博主,补充阅读资源,紧追安全前沿。
- 数据分析:挖掘人与人之间的社交网络,判断自己当前所处位置,指引未来发展方向。
What
-
数据采集
此版本数据为采集到的公开数据,数据格式为:
Follow,Star,ID,Security_ID,Blog,Individual_Team_Company,Friend_Link_ID,Github,Weibo,Focus_On,Team,School_Company,Skills_Tags,Man_Tags,RSS,Twitter,Zhihu,Email,Contact,Famous_Projects
对应的解释分别是:
笔者在跟着学习的,笔者觉得不错推荐的,索引ID,网络ID,博客链接,个人(1)/团队(2)/公司(3)博客,友情链接的索引ID,Github地址,微博地址,主要研究领域,所属安全团队,所属高校/公司,技能标签(PHP?Python?Java),人物标签(摄影?动漫?文艺),RSS订阅地址,推特地址,知乎地址,邮箱地址,联系方式(QQ?微信?),著名开源项目
采集到的Skillgs_Tags,Man_Tags,Zhihu三个字段数据很少且意义不大,故计划舍弃。
-
数据缺失补全
通过挖掘人与人之间的社交关系,补全部分数据,此版本数据暂时不会公开。
How&&Do
- 数据缺失补全
Result
- 输出一份价值较高的原始数据和分析结果,使用者以此可以达到信息检索、内容学习、纵观安全的目的。
- 输出一份Github与大安全资源。
Github&&大安全
2020-03-12
- fuzzDicts:Web Pentesting Fuzz 字典
- FileMonitor:文件变化实时监控工具(代码审计/黑盒/白盒审计辅助工具)
- MySQLMonitor:MySQL实时监控工具(代码审计/黑盒/白盒审计辅助工具)
- easyXssPayload:XssPayload List for Fuzzing
- burpFakeIP:一个用于伪造ip地址进行爆破的Burp Suite插件
2020-01-02
- FOFA Pro View:FOFA Pro 资产展示浏览器插件
- crawlergo_x_XRAY:360/0Kee-Team/crawlergo动态爬虫结合长亭XRAY扫描器的被动扫描功能
- LangSrcCurise:SRC子域名资产监控
- Passive Scan Client:Burp被动扫描流量转发插件
2019-12-27
目录:
- 安全知识大综合
- CTF知识大综合
- 安全工具大综合
- 资产
- 敏感信息泄露检测工具
- 漏洞
- 渗透测试
- 红队
- Web安全
- 各语言代码审计
- 移动安全
- IoT安全
- 二进制安全
- 系统安全
- 智能安全
- 域名相关工具
- 密码相关工具
- BurpSuite相关工具
- 数据分析
- 效率工具
- 其他安全工具
安全知识大综合
- sec-chart:安全思维导图集合
- Mind-Map:各种安全相关思维导图整理收集
- SecPaper:SecurityPaper For www.polaris-lab.com
- sks:Security Knowledge Structure(安全知识汇总)
- MITRE | ATT&CK-CN
- collection-document:Collection of quality safety articles
- GoogleHacking-Page
- security-conference-archive:Collection of Security Conference Slides/Papers
- Security-PPT:大安全各领域各公司各会议分享的PPT
- Newbie-Security-List:网络安全学习资料
CTF知识大综合
- CTF-All-In-One:CTF竞赛入门指南
- CTF_repo:收集我参加过的CTF的题集, 只有题目, 不含wp
- CTF_web:a project aim to collect CTF web practices
- CTF-Challenge:CTF题目收集
- Writeups:国内各大CTF赛题及writeup整理
- awd_attack_framework:awd攻防常用脚本+不死马+crontab+防御方法
安全工具大综合
资产
敏感信息泄露检测工具
- GSIL:GitHub敏感信息泄露监控
- GitLeak:GitLeak 是一个从 Github 上查找密码信息的小工具
- GitHacker: A Git source leak exploit tool that restores the entire Git repository
- FileSensor:基于爬虫的动态敏感文件探测工具
- VKSRC/Github-Monitor:Github Sensitive Information Leakage Monitor(Github信息泄漏监控系统)
漏洞
漏洞知识综合
特定漏洞及利用
- FastjsonExploit:fastjson漏洞快速利用框架
- fastjson-remote-code-execute-poc
- upload-labs:一个想帮你总结所有类型的上传漏洞的靶场
- upload-fuzz-dic-builder:上传漏洞fuzz字典生成脚本
- xxe-lab:一个包含php,java,python,C#等各种语言版本的XXE漏洞Demo
- redis-rce:Redis 4.x/5.x RCE
- redis-rogue-server:Redis(<=5.0.5) RCE
- CVE-2017-11882
- Exchange2domain:CVE-2018-8581
- CVE-2014-7911_poc:Local root exploit for Nexus5 Android 4.4.4(KTU84P)
- CVE-2019-2725命令回显
漏洞通用工具
- vulhub/vulhub:Pre-Built Vulnerable Environments Based on Docker-Compose
- vulhub/MetaDockers:Responsible for visualization the vulhub and docker
- windows-kernel-exploits:windows-kernel-exploits Windows平台提权漏洞集合
- linux-kernel-exploits:linux-kernel-exploits Linux平台提权漏洞集合
- java-sec-code:Java common vulnerabilities and security code
- SharpSploit:SharpSploit is a .NET post-exploitation library written in C#
- nse_vuln:Nmap扫描、漏洞利用脚本
- vulstudy:使用docker快速搭建各大漏洞学习平台,目前可以一键搭建12个平台
- Exploit-Framework:An Exploit framework for Web Vulnerabilities written in Python
- chaitin/xray:xray 安全评估工具
- crawlergo_x_XRAY:360/0Kee-Team/crawlergo动态爬虫结合长亭XRAY扫描器的被动扫描功能
渗透测试
渗透测试知识
- Mind-Map:超详细的渗透测试思维导图
- pentest_study:从零开始内网渗透学习
- Intranet_Penetration_Tips:2018年初整理的一些内网渗透TIPS
- Active-Directory-Pentest-Notes:个人域渗透学习笔记
- Pentest-and-Development-Tips:A collection of pentest and development tips
- Penetration_Testing_Case:用于记录分享一些有趣的案例
- ew:内网穿透(跨平台)
- python-hacker-code:《python黑帽子:黑客与渗透测试编程之道》代码及实验文件,字典等
- The-Hacker-Playbook-3-Translation:译渗透测试实战第三版(红队版)
- 从0开始你的域渗透之旅
渗透测试工具
- WebPocket:Exploit management framework
- pentest_tools:收集一些小型实用的工具
- pentest:some pentest scripts & tools by yaseng@uauc.net
- DiscoverTarget:前渗透信息探测工具集-URL采集
- POC-T:渗透测试插件化并发框架
- cmsPoc:CMS渗透测试框架
- Pentest:tools
- Berserker:针对Pentest或者CTF的一个fuzz payload项目
- w-digital-scanner/w13scan:被动安全扫描器
- Pentest-tools:内网渗透工具
- TrackRay:溯光 (TrackRay) 3 beta⚡渗透测试框架(资产扫描|指纹识别|暴力破解|网页爬虫|端口扫描|漏洞扫描|代码审计|AWVS|NMAP|Metasploit|SQLMap)
- saucerframe:python3批量poc检测工具
- FOFA Pro View:FOFA Pro 资产展示浏览器插件
- fuzz_dict:常用的一些fuzz及爆破字典,欢迎大神继续提供新的字典及分类。
- fuzzDicts:Web Pentesting Fuzz 字典
红队
Web安全知识大综合
Web安全工具
- JSFinder:JSFinder is a tool for quickly extracting URLs and subdomains from JS files on a website.
- WebEye:一个快速简单地识别WEB服务器类型、CMS类型、WAF类型、WHOIS信息、以及语言框架的小脚本
- whatweb:更快速的进行Web应用指纹识别
- WebFuzzAttack:web模糊测试 - 将漏洞可能性放大
- CMS-Hunter:CMS漏洞测试用例集合
- w-digital-scanner/w9scan:Plug-in type web vulnerability scanner
- webshell:入侵分析时发现的Webshell后门
- webshell-venom:免杀webshell无限生成工具(利用随机异或无限免杀D盾)
- as_webshell_venom:免杀webshell无限生成工具蚁剑版
- webshellSample:webshell sample for WebShell Log Analysis
- Javascript-Backdoor:Learn from Casey Smith @subTee
- Bypass_Disable_functions_Shell:一个各种方式突破Disable_functions达到命令执行的shell
- DirBrute:多线程WEB目录爆破工具
- easyXssPayload:XssPayload List for Fuzzing
各语言代码审计
- Audit-Learning:记录自己对《代码审计》的理解和总结
- PHP-code-audit:代码审计,对一些大型cms漏洞的复现研究,更新源码和漏洞exp
- Code-Audit-Challenges
- python_sec:python安全和代码审计相关资料收集
- pyvulhunter:python audit tool 审计 注入 inject
- WhaleShark-Team/cobra:源代码安全审计工具
- Cobra-W:白盒源代码审计工具-白帽子版
移动安全
IoT安全
二进制安全
- Some-Kernel-Fuzzing-Paper
- kDriver-Fuzzer:基于ioctlbf框架编写的驱动漏洞挖掘工具kDriver Fuzzer
- awesome-vm-exploit:share some useful archives about vm and qemu escape exploit.
- ROPgadget:This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation
- Triton:Triton is a Dynamic Binary Analysis (DBA) framework
- PinTools:Pintool example and PoC for dynamic binary analysis
- binary-samples:Samples of binary with different formats and architectures
- vm-escape:some interesting vm-escape game
- Binary-Reading-List:Things I know and will know about binaries.
系统安全
- SuperDllHijack:一种通用Dll劫持技术,不再需要手工导出Dll的函数接口了
- List-RDP-Connections-History:Use powershell to list the RDP Connections History of logged-in users or all users
- Eventlogedit-evtx--Evolution:Remove individual lines from Windows XML Event Log (EVTX) files
- Software-Security-Learning
智能安全
域名相关工具
- dnsAutoRebinding:ssrf、ssrfIntranetFuzz、dnsRebinding、recordEncode、dnsPoisoning、Support ipv4/ipv6
- domain_hunter:利用burp收集整个企业、组织的域名(不仅仅是单个主域名)的插件
- GSDF:A domain searcher named GoogleSSLdomainFinder - 基于谷歌SSL透明证书的子域名查询工具
- ESD:枚举子域名
- get_domain:域名收集与监测V3.0
- LangSrcCurise:SRC子域名资产监控
密码相关工具
- sarkara:A experimental post-quantum cryptography library
- genpAss:中国特色的弱口令生成器
- passmaker:可以自定义规则的密码字典生成器,支持图形界面 A password-generator that base on the rules that you specified
- WebCrack:网站后台弱口令/万能密码批量检测工具
- Decryption-tool:内网密码搜集部分工具
- RW_Password:此项目用来提取收集以往泄露的密码中符合条件的强弱密码
BurpSuite相关工具
- BurpSuite-collections:BurpSuite收集:包括不限于 Burp 文章、破解版、插件(非BApp Store)、汉化等相关教程
- domain_hunter:利用burp收集整个企业、组织的域名(不仅仅是单个主域名)的插件
- Passive Scan Client:Burp被动扫描流量转发插件
- chunked-coding-converter:Burp suite 分块传输辅助插件
- reCAPTCHA:自动识别图形验证码并用于burp intruder爆破模块的插件
- burpFakeIP:一个用于伪造ip地址进行爆破的Burp Suite插件
数据分析
效率工具
其他安全工具
- mooder:Mooder是一款开源、安全、简洁、强大的团队内部知识分享平台
- teemo:A Domain Name & Email Address Collection Tool
- SuperWeChatPC:超级微信电脑客户端,支持多开、防消息撤销、语音消息备份...开放WeChatSDK
- RGPerson:随机身份生成脚本
- opencanary_web:The web management platform of honeypot
- CyberSecurityRSS:优秀的个人情报来源
- slides:The slides I have ever presented
- mylamour的issues