网络管理员、DevOps、测试人员必备的清单、手册、速查表、博客、技巧、单行命令、命令行/Web 工具

资源合集
收藏
回帖
新手上路 昨天 19:43
主楼
Bash
  • GNU Bash- 一个与 sh 兼容的 shell,它融合了 Korn shell 和 C shell 的实用功能。
  • Zsh- 一个专为交互式使用而设计的 shell,尽管它也是一种功能强大的脚本语言。
  • tclsh- 一个非常强大的跨平台 shell,适用于各种用途。
  • bash-it- 一个用于使用、开发和维护 shell 脚本和自定义命令的框架。
  • Oh My ZSH!- 是管理 Zsh 配置的最佳框架。
  • Oh My Fish- Fishshell 框架。
  • Starship- Rust 编写的 crossshell 提示符。
  • powerlevel10k- 是 Powerlevel9k ZSH 主题的快速重新实现。
Shell 插件
  • z- 跟踪您最常使用的文件夹,并允许您跳转到该文件夹​​,而无需输入完整的路径。
  • fzf- 一个通用的命令行模糊查找器。
  • zsh-autosuggestions- 类似 Fish 的 Zsh 自动建议。
  • zsh-syntax-highlighting- 类似 Fish shell 的 Zsh 语法高亮显示。
  • 超棒的 ZSH 插件- ZSH 的框架、插件、主题和教程列表。
经理
  • Midnight Commander- 一款可视化文件管理器,根据 GNU 通用公共许可证授权。
  • ranger- 一款受 VIM 启发的控制台文件管理器。
  • nnn- 一款体积小巧、速度极快、功能齐全的文件管理器。
  • screen- 一个全屏窗口管理器,它能够复用物理终端。
  • tmux- 一个终端复用器,可以让在一个终端中轻松切换多个程序。
  • tmux-cssh- 是一个用于设置舒适易用的 tmux 会话功能的工具。
文本编辑器
  • vi- Unix 系统上最常用的文本编辑器之一。
  • vim- 一款高度可配置的文本编辑器。
  • emacs- 一款可扩展、可定制的自由/开源文本编辑器,等等。
  • micro- 一款现代且直观的基于终端的文本编辑器。
  • neovim- 一款免费开源、功能强大、可扩展且易于使用的代码编辑器。
  • spacemacs- 一个由社区驱动的 Emacs 发行版。
  • spacevim- 一个由社区驱动的 vim 发行版。
文件和目录
  • fd- 是一个简单、快速且用户友好的查找替代方案。
  • ncdu- 一款易于使用、速度快的磁盘使用情况分析器。
网络
  • PuTTY- 一个 SSH 和 telnet 客户端,最初由 Simon Tatham 开发。
  • Mosh- 一个 SSH 封装器,旨在通过不稳定的连接保持 SSH 会话的活性。
  • Eternal Terminal- 在 SSH 会话中启用鼠标滚动和 tmux 命令。
  • nmap- 一款免费开源(许可)的网络发现和安全审计工具。
  • zmap- 一款快速的单包网络扫描器,专为互联网范围的网络调查而设计。
  • Rust Scan- 比 Nmap 更快地找到所有开放端口。
  • masscan- 速度最快的互联网端口扫描器,异步发送 SYN 数据包。
  • pbscan- 一款速度更快、效率更高的无状态 SYN 扫描器和横幅抓取器。
  • hping- 一个面向命令行的 TCP/IP 数据包组装器/分析器。
  • mtr- 一款将“traceroute”和“ping”程序的功能结合在一个工具中的工具。
  • mylg- 一款将不同网络探测功能集成到一个诊断工具中的实用程序。
  • netcat- 使用 TCP/IP 协议通过网络连接读取和写入数据的实用程序。
  • socat- 用于在两个对象之间传输数据的实用程序。
  • tcpdump- 一个功能强大的命令行数据包分析器。
  • tshark- 一款可以让我们转储和分析网络流量的工具(wireshark cli)。
  • Termshark- tshark 的简单终端用户界面。
  • ngrep- 类似于应用于网络层的 GNU grep。
  • netsniff-ng- 就像一把瑞士军刀,能满足日常 Linux 网络维护的需求。
  • sockdump- 转储 Unix 域套接字流量。
  • 速记员- 是一种数据包捕获解决方案,旨在快速将所有数据包写入磁盘。
  • tcpterm- 在 TUI 中可视化数据包。
  • bmon- 一款监控和调试工具,用于捕获网络相关统计信息并以可视化的方式呈现。
  • iptraf-ng- 一个基于控制台的 Linux 网络监控程序,用于显示有关 IP 流量的信息。
  • vnstat- 一个适用于 Linux 和 BSD 的网络流量监视器。
  • iPerf3- 一款用于主动测量 IP 网络最大可实现带宽的工具。
  • ethr- 一款用于 TCP、UDP 和 HTTP 的网络性能测量工具。
  • Etherate- 一款基于 Linux 命令行界面的以太网和 MPLS 流量测试工具。
  • echoip- 一种 IP 地址查询服务。
  • Nemesis- 数据包操作命令行工具;可构造和注入多种协议的数据包。
  • packetfu- 一个用于 Ruby 的中级数据包操作库。
  • Scapy- 数据包操作库;伪造、发送、解码、捕获多种协议的数据包。
  • impacket- 一组用于处理网络协议的 Python 类。
  • ssh-audit- 一个用于 SSH 服务器审计的工具。
  • aria2- 一个轻量级的多协议和多源命令行下载实用程序。
  • iptables-tracer- 观察数据包在 iptables 链中的路径。
  • inception- 一个高度可配置的工具,可以针对任意数量的主机检查您想要的任何内容。
  • mRemoteNG- mRemote 的一个分支,功能强大的多标签 PuTTy!
网络(DNS)
  • dnsdiag- 一款 DNS 诊断和性能测量工具。
  • fierce- 一款 DNS 侦察工具,用于定位非连续 IP 地址空间。
  • subfinder- 是一个子域名发现工具,用于发现网站的有效子域名。
  • sublist3r- 是一款面向渗透测试人员的快速子域名枚举工具。
  • amass- 一款通过抓取数据源、爬取网络存档等方式获取子域名的工具。
  • namebench- 根据您的浏览历史记录提供个性化的 DNS 服务器推荐。
  • massdns- 一个高性能的 DNS 存根解析器,用于批量查找和侦察。
  • knock- 一个通过单词列表枚举目标域上子域的工具。
  • dnsperf- DNS 性能测试工具。
  • dnscrypt-proxy 2- 一个灵活的 DNS 代理,支持加密 DNS 协议。
  • dnsdbq- 提供对被动式 DNS 数据库系统访问的 API 客户端。
  • grimd- 快速 DNS 代理,旨在屏蔽互联网广告和恶意软件服务器。
  • dnstwist- 检测域名抢注、网络钓鱼攻击、欺诈和品牌冒充。
网络(HTTP)
  • curl- 一个命令行工具和库,用于通过 URL 传输数据。
  • kurly- 用 Golang 编写的,是广受欢迎的 curl 程序的替代方案。
  • HTTPie- 一款用户友好的 HTTP 客户端。
  • wuzz- 一个用于 HTTP 检查的交互式命令行工具。
  • h2spec- 一个用于测试 HTTP/2 实现一致性的工具。
  • h2t- 一款简单的工具,可以帮助系统管理员加固他们的网站。
  • htrace.sh- 是一款用于 http/https 故障排除和性能分析的简单瑞士军刀。
  • httpstat- 一个以美观清晰的方式可视化 curl 统计信息的工具。
  • httplab- 一个交互式 Web 服务器。
  • Lynx- 一款用于万维网的文本浏览器。
  • Browsh- 一款完全交互式、实时且现代化的基于文本的浏览器。
  • HeadlessBrowsers- 一个包含(几乎)所有现存无头网络浏览器的列表。
  • ab- 一个单线程命令行工具,用于测量 HTTP Web 服务器的性能。
  • siege- 一款 HTTP 负载测试和基准测试工具。
  • wrk- 一款现代 HTTP 基准测试工具,能够产生巨大的负载。
  • wrk2- wrk 的一个恒定吞吐量、正确延迟记录变体。
  • vegeta- 是 wrk 的一个恒定吞吐量、正确延迟记录变体。
  • bombardier- 一个用 Go 编写的快速跨平台 HTTP 基准测试工具。
  • gobench- http/https 负载测试和基准测试工具。
  • hey- HTTP 负载生成器,ApacheBench (ab) - 的替代品,以前被称为 rakyll/boom。
  • boom- 一个可以用来快速进行 Web 应用程序部署冒烟测试的脚本。
  • SlowHTTPTest- 一款通过延长 HTTP 请求时间来模拟某些应用层拒绝服务攻击的工具。
  • gobuster- 一个用 Go 编写的免费开源目录/文件和 DNS 检测工具。
  • ssllabs-scan- SSL Labs API 的命令行参考实现客户端。
  • http-observatory- Mozilla HTTP Observatory cli 版本。
  • Hurl- 一个命令行工具,用于运行和测试纯文本 HTTP 请求。
SSL
  • openssl- 一个功能强大、商业级且功能齐全的 TLS 和 SSL 协议工具包。
  • gnutls-cli- 用于与其他计算机建立 TLS 连接的客户端程序。
  • sslyze- 快速强大的 SSL/TLS 服务器扫描库。
  • sslscan- 测试启用 SSL/TLS 的服务,以发现支持的密码套件。
  • testssl.sh- 在任何端口上测试 TLS/SSL 加密。
  • cipherscan- 一种非常简单的方法来查找目标支持哪些 SSL 密码套件。
  • spiped- 一个用于在套接字地址之间创建对称加密和认证管道的实用程序。
  • Certbot- EFF 的工具,用于从 Let's Encrypt 获取证书,并(可选地)在您的服务器上自动启用 HTTPS。
  • mkcert- 一个简单的零配置工具,可以创建本地受信任的开发证书,证书名称可自定义。
  • certstrap- 用于引导 CA、证书请求和签名证书的工具。
  • Sublert- 一款安全和侦察工具,可自动监控新的子域名。
  • mkchain- 一款开源工具,可帮助您构建有效的 SSL 证书链。
  • ssl-cert-check- SSL 证书过期检查器。
安全
  • SELinux- 提供内置于 Linux 内核中的灵活强制访问控制 (MAC) - 系统。
  • AppArmor- 主动保护操作系统和应用程序免受外部或内部威胁。
  • grapheneX- 自动化系统加固框架。
  • DevSec 加固框架- 安全 + DevOps:自动服务器加固。
审计工具
  • 操作系统安全 (ossec)- 通过文件完整性监控主动监控系统活动的各个方面。
  • auditd- 提供了一种跟踪系统安全相关信息的方法。
  • Tiger- 一款安全工具,既可以用作安全审计,也可以用作入侵检测系统。
  • Lynis- 一款经过实战检验的安全工具,适用于运行 Linux、macOS 或基于 Unix 的操作系统。
  • LinEnum- 脚本化的本地 Linux 枚举和权限提升检查。
  • Rkhunter- 一款用于 Linux 系统的扫描工具,可扫描系统中的后门、rootkit 和本地漏洞。
  • PE-sieve- 一款轻量级工具,可帮助检测系统上运行的恶意软件。
  • PEASS- 适用于 Windows、Linux/Unix 和 MacOS 的权限提升工具。
系统诊断/调试器
  • strace- Linux 的诊断、调试和指导用户空间实用程序。
  • DTrace- 一款性能分析和故障排除工具。
  • ltrace- 一个库调用跟踪器,用于跟踪程序对库函数的调用。
  • ptrace-burrito- 是 ptrace 的一个友好封装。
  • perf-tools- 基于 Linux perf_events(又名 perf)和 ftrace 的性能分析工具。
  • bpftrace- Linux eBPF 的高级跟踪语言。
  • sysdig- 系统探索和故障排除工具,对容器提供一流的支持。
  • Valgrind- 一个用于构建动态分析工具的工具框架。
  • gperftools- 高性能多线程 malloc() - 实现,以及一些性能分析工具。
  • glances- 用 Python 编写的跨平台系统监控工具。
  • htop- 一个用于 Unix 系统的交互式文本模式进程查看器。它的目标是成为比“top”命令更好的工具。
  • bashtop- 用纯 Bash 编写的 Linux 资源监视器。
  • nmon- 一个用于性能监控和数据分析的单一可执行文件。
  • atop- ASCII 性能监视器。包含 CPU、内存、磁盘、交换空间、网络和进程的统计信息。
  • lsof- 在其输出中显示有关进程打开的文件的信息。
  • FlameGraph- 堆栈跟踪可视化工具。
  • lsofgraph- 将 Unix lsof 输出转换为显示 FIFO 和 UNIX 进程间通信的图形。
  • rr- 一个轻量级工具,用于记录、回放和调试应用程序的执行过程。
  • Performance Co-Pilot- 系统性能分析工具包。
  • hexyl- 一个命令行十六进制查看器。
  • Austin- 用于 CPython 的 Python 帧堆栈采样器。
日志分析器
  • angle-grinder- 在命令行上对日志文件进行切片和切割。
  • lnav- 带有搜索和自动刷新功能的日志文件导航器。
  • GoAccess- 可在终端中运行的实时网络日志分析器和交互式查看器。
  • ngxtop- nginx 服务器的实时指标。
数据库
  • usql- SQL 数据库通用命令行界面。
  • pgcli- 带有自动补全和语法高亮显示的 postgres 命令行界面。
  • mycli- MySQL 终端客户端,具有自动补全和语法高亮功能。
  • litecli- 带有自动补全和语法高亮显示的 SQLite 命令行界面。
  • mssql-cli- 具有自动补全和语法高亮显示的 SQL Server 命令行界面。
  • OSQuery- 一个基于 SQL 的操作系统检测、监控和分析框架。
  • pgsync- 将数据从一个 Postgres 数据库同步到另一个数据库。
  • iredis- 一个带有自动补全和语法高亮功能的 Redis 终端客户端。
  • SchemaCrawler- 生成数据库的 ER 图。
TOR
  • Nipe- 将 Tor 网络设置为默认网关的脚本。
  • multitor- 一款可以创建多个 TOR 实例并实现负载均衡的工具。
即时通讯软件/IRC 客户端
  • Irssi- 一款免费的开源终端式 IRC 客户端。
  • WeeChat- 一款可扩展性极强且轻量级的 IRC 客户端。
生产力
- TaskWarrior- 任务管理系统,待办事项列表
其他
  • sysadmin-util- Linux/Unix 系统管理员工具。
  • incron- 一种基于 inode 的文件系统通知技术。
  • lsyncd- 将本地目录与远程目标同步(实时同步守护程序)。
  • GRV- 一个基于终端的 Git 仓库查看界面。
  • Tig- Git 的文本模式界面。
  • tldr- 简化且由社区驱动的手册页。
  • 压缩软件- 轻松创建和提取 .zip、.tar、.tar.gz、.tar.bz2、.tar.xz、.tar.lz4、.tar.sz 和 .rar 文件。
  • commander.js- 用 Ja​​vaScript 编写的极简命令行界面创建器。
  • gron- 让 JSON 可以被 grep 抓取!
  • bed- 用 Go 语言编写的二进制编辑器。

图形用户界面工具 [目录]

终端模拟器
  • Guake- 一个专为 GNOME 桌面环境设计的下拉终端。
  • Terminator- 基于 GNOME 终端,为系统管理员和其他用户提供实用功能。
  • Kitty- 一款基于 GPU 的终端模拟器,支持平滑滚动和图像显示。
  • Alacritty- 一款快速、跨平台的 OpenGL 终端模拟器。
网络
  • Wireshark- 世界上领先且应用最广泛的网络协议分析器。
  • Ettercap- 一款功能全面的网络监控工具。
  • EtherApe- 一款图形化网络监控解决方案。
  • Packet Sender- 是一个用于生成数据包的网络实用程序,内置 UDP/TCP/SSL 客户端和服务器。
  • Ostinato- 一个数据包生成器和流量生成器。
  • JMeter™- 用于负载测试功能行为和测量性能的开源软件。
  • locust- 一款用 Python 编写的可扩展用户负载测试工具。
浏览器
- TOR 浏览器保护您的隐私,抵御网络监视和流量分析。
密码管理器
  • KeePassXC- 安全存储您的密码,并自动将其输入到您日常使用的网站和应用程序中。
  • Bitwarden- 开源密码管理器,内置同步功能。
  • Vaultwarden- 一个用 Rust 编写的非官方 Bitwarden 兼容服务器。
即时通讯软件/IRC 客户端
  • HexChat- 一款基于 XChat 的 IRC 客户端。
  • Pidgin- 一款易于使用且免费的聊天客户端,拥有数百万用户。
即时通讯软件(端到端加密)
  • Signal- 一款加密通讯应用。
  • Wire- 安全的消息传递、文件共享、语音通话和视频会议。
  • TorChat- 基于 Tor 隐藏服务的去中心化匿名即时通讯工具。
  • Matrix- 一个用于安全、去中心化、实时通信的开放网络。
文本编辑器
  • Sublime Text- 一款轻量级、跨平台的代码编辑器,以其速度快、易于使用而闻名。
  • Visual Studio Code- 微软开发的开源免费源代码编辑器。
  • Atom- 一款面向 21 世纪的可定制文本编辑器。

网络工具 [目录]

浏览器
SSL/安全
HTTP 标头和网页代码检查器
  • 安全标头- 分析 HTTP 响应标头(对结果进行评分)。
  • Mozilla Observatory- 一套用于分析您网站的工具。
  • webhint- 一款代码检查工具,可以帮助您提高网站的可访问性、速度、安全性等。
DNS
邮件
编码器/解码器和正则表达式测试
  • URL 编码/解码- 上述工具用于对文本字符串进行编码或解码。
  • Uncoder- 用于对日志数据进行搜索查询的在线翻译器。
  • Regex101- 在线正则表达式测试器和调试器:PHP、PCRE、Python、Golang 和 JavaScript。
  • RegExr- 用于学习、构建和测试正则表达式 (RegEx / RegExp) - 的在线工具。
  • 正则表达式测试- 在线正则表达式测试工具。
  • RegEx Pal- 在线正则表达式测试工具 + 其他工具。
  • 网络瑞士军刀一​​款用于加密、编码、压缩和数据分析的网页应用程序。
网络工具
  • Netcraft- 提供关于该网站的详细报告,帮助您了解其诚信度,从而做出明智的选择。 *
  • RIPE NCC Atlas- 一个全球性的、开放的、分布式的互联网测量平台。
  • Robtex- 使用各种来源收集有关 IP 号码、域名、主机名等的公开信息。
  • 安全追踪- 面向安全公司、研究人员和团队的 API。
  • 在线 Curl- curl 测试,分析 HTTP 响应头。
  • 面向开发者的在线工具- HTTP API 工具、测试工具、编码器、转换器、格式化工具和其他工具。
  • Ping.eu- 在线 Ping、Traceroute、DNS 查询、WHOIS 等服务。
  • Network-Tools- 面向网站管理员、IT 技术人员和极客的网络工具。
  • BGPview- 搜索任何 ASN、IP、前缀或资源名称。
  • BGP 安全了吗?- 检查 ISP 和其他主要互联网参与者的 BGP(RPKI)安全性。
  • Riseup- 为致力于解放性社会变革的人士和团体提供在线沟通工具。
  • VirusTotal- 分析可疑文件和 URL,以检测恶意软件类型。
隐私
代码解析器/试验场
  • ShellCheck- 查找 shell 脚本中的错误。
  • explainshell- 获取 shell 命令的交互式帮助文本。
  • jsbin- 用于 HTML、CSS 和 JavaScript 等的实时 pastebin。
  • CodeSandbox- 用于 Web 应用程序开发的在线代码编辑器。
  • PHP 沙箱- 使用此代码测试器测试您的 PHP 代码。
  • Repl.it- 一个集学习、构建、协作和托管于一体的即时 IDE。
  • vclFiddle- 一个用于试验 Varnish Cache VCL 的在线工具。
  • Haskell Dockerfile Linter- 一个更智能的 Dockerfile linter,可帮助您构建符合最佳实践的 Docker 镜像。
性能
  • GTmetrix- 分析网站速度并提升其速度。
  • Sucuri loadtimetester- 在这里测试您网站在全球各地的性能。
  • Pingdom Tools- 分析您的网站在全球范围内的速度。
  • PingMe.io- 跨多个地理区域运行网站延迟测试。
  • PageSpeed Insights- 分析网站速度并提升其速度。
  • web.dev- 帮助像您一样的开发者学习和应用 Web 的现代功能到您自己的网站和应用程序中。
  • Lighthouse- 为网络提供自动化审计、性能指标和最佳实践。
大众扫描器(搜索引擎)
  • Censys- 一个帮助信息安全从业人员发现、监控和分析设备的平台。
  • Shodan- 全球首个面向联网设备的搜索引擎。
  • Shodan 2000- 此工具查找来自 Shodan 的随机生成的数据。
  • GreyNoise- 类似 Shodan 和 Censys 的大规模扫描器。
  • ZoomEye- 一款网络空间搜索引擎,使用户能够查找特定的网络组件。
  • netograph- 用于监控和了解网络深层结构的工具。
  • FOFA- 一个网络空间搜索引擎。
  • onyphe- 一个用于搜索开源和网络威胁情报数据的搜索引擎。
  • IntelligenceX- 一个搜索引擎和数据存档库。
  • binaryedge- 它扫描整个互联网空间,并创建实时威胁情报流和报告。
  • Spyse- 互联网资产注册表:网络、威胁、Web 对象等。
  • Wigle- 一个基于用户提交的无线网络目录。收录所有网络。由所有人发现。
  • PublicWWW- 在网页的 HTML、JS 和 CSS 代码中查找任何字母数字片段、签名或关键字。
  • IntelTechniques- 该存储库包含数百个在线搜索工具。
  • Hunter- 让您在几秒钟内找到电子邮件地址,并与对您的业务至关重要的人建立联系。
  • GhostProject?- 按完整电子邮件地址或用户名搜索。
  • 数据泄露我的电子邮件是否受到数据泄露的影响?
  • We Leak Info- 全球速度最快、规模最大的数据泄露搜索引擎。
  • Pulsedive- 扫描恶意 URL、IP 和域名,包括端口扫描和 Web 请求。
  • 由 Grayhatwarfar 提供的 Buckets- 数据库,可公开搜索 Open Amazon S3 Buckets 及其内容。
  • Vigilante.pw- 被入侵的数据库目录。
  • builtwith- 了解哪些网站是用什么技术构建的。
  • NerdyData- 搜索数百万个网站中各种技术的源代码。
  • zorexeye- 搜索网站、图片、应用、软件等。
  • Mamont 的开放 FTP 索引- 如果目标网站拥有可访问内容的开放 FTP 站点,则会将其列在此处。
  • 开源情报框架专注于从免费工具或资源中收集信息。
  • maltiverse- 一个面向网络安全分析师的服务平台。
  • 泄露源- 是以查找形式在网上找到的数据的协作。
  • We Leak Info- 帮助普通人保护他们的在线生活,避免被黑客攻击。
  • pipl- 是一个可以找到电子邮件地址、社交用户名或电话号码背后真实身份的地方。
  • abuse.ch- 由一位瑞士普通人运营,致力于非营利组织打击恶意软件。
  • malc0de- 恶意软件搜索引擎。
  • 网络犯罪追踪器- 监控和追踪用于实施网络犯罪的各种恶意软件家族。
  • shhgit- 实时查找 GitHub 密钥。
  • searchcode- 帮助您查找函数、API 和库的实际示例。
  • Insecam- 全球最大的在线监控摄像头目录。
  • index-of- 包含诸如安全、黑客攻击、逆向工程、密码学、编程等精彩内容。
  • Rapid7 Labs Open Data- Project Sonar 数据集的绝佳资源。
  • 常用响应标头- 最大的 HTTP 响应标头数据库。
  • InQuest Labs- InQuest Labs 是一个面向安全研究人员的开放、交互式、API 驱动的数据门户。
发电机
密码
CVE/漏洞利用数据库
  • CVE Mitre- 公开已知的网络安全漏洞列表。
  • CVE 详情- CVE 安全漏洞高级数据库。
  • Exploit DB- 符合 CVE 标准的公开漏洞利用程序及其对应易受攻击软件的存档。
  • 0day.today- 漏洞交易市场为您提供买卖零日漏洞的机会。
  • sploitus- 漏洞利用和工具数据库。
  • cxsecurity- 免费漏洞数据库。
  • Vulncode-DB- 一个漏洞数据库,其中包含漏洞及其对应的源代码(如有)。
  • cveapi- 用于 CVE 数据的免费 API。
移动应用扫描器
  • ImmuniWeb® 移动应用扫描器- 测试移动应用(iOS 和 Android)的安全性和隐私性。
  • Quixxi- 适用于 Android 和 iOS 的免费移动应用漏洞扫描器。
  • Ostorlab- 分析移动应用程序,以识别漏洞和潜在弱点。
私有搜索引擎
  • Startpage- 全球最注重隐私的搜索引擎。
  • searX- 一个尊重隐私、可破解的元搜索引擎。
  • darksearch- 第一个真正的暗网搜索引擎。
  • Qwant- 尊重您隐私的搜索引擎。
  • DuckDuckGo- 一款不会​​追踪的搜索引擎。
  • Swisscows- 隐私安全网络搜索
  • Disconnect- 一款可以匿名搜索的搜索引擎。
  • MetaGer- 一款使用匿名代理和隐藏 Tor 分支的搜索引擎。
安全网络邮件提供商
  • CounterMail- 一款旨在提供最大限度安全性和隐私性的在线电子邮件服务。
  • Mail2Tor- 一款 Tor 隐藏服务,允许任何人匿名发送和接收电子邮件。
  • Tutanota- 世界上最安全的电子邮件服务,而且使用起来非常简单。
  • Protonmail- 由欧洲核子研究中心和麻省理工学院的科学家开发的全球最大的安全电子邮件服务。
  • Startmail- 让私密加密邮件变得简单。
加密货币
- Keybase- 它是开源的,并采用公钥加密技术。
PGP 密钥服务器
- SKS OpenPGP 密钥服务器- 为 OpenPGP 使用的 SKS 密钥服务器提供服务。

系统/服务 [目录]

操作系统
  • Slackware- 最“类 Unix”的 Linux 发行版。
  • OpenBSD- 基于 4.4BSD 的多平台类 UNIX 操作系统。
  • HardenedBSD- HardenedBSD 旨在实现创新的漏洞利用缓解和安全解决方案。
  • Kali Linux- 用于渗透测试、道德黑客攻击和网络安全评估的 Linux 发行版。
  • Parrot Security OS- 网络安全 GNU/Linux 环境。
  • Backbox Linux- 面向渗透测试和安全评估的基于 Ubuntu 的 Linux 发行版。
  • BlackArch- 一个基于 Arch Linux 的渗透测试发行版,专为渗透测试人员打造。
  • Pentoo- 一个基于 Gentoo 的安全型 LiveCD。
  • Security Onion- 用于入侵检测、企业安全监控和日志管理的 Linux 发行版。
  • Tails- 一个旨在保护您的隐私和匿名性的实时系统。
  • vedetta- OpenBSD 路由器样板.
  • Qubes OS- 一款以安全为导向的操作系统,它使用基于 Xen 的虚拟化技术。
HTTP(s) - 服务
  • Varnish Cache- 专为内容丰富的动态网站设计的 HTTP 加速器。
  • Nginx- 类似于 Apache 的开源 Web 和反向代理服务器,但非常轻量级。
  • OpenResty- 一个基于 NGINX 和 LuaJIT 的动态 Web 平台。
  • Tengine- 一个具有一些高级功能的 Nginx 发行版。
  • Caddy Server- 一款开源的、支持 HTTP/2 的 Web 服务器,默认使用 HTTPS。
  • HAProxy- 可靠、高性能的 TCP/HTTP 负载均衡器。
DNS 服务
  • Unbound- 验证、递归和缓存 DNS 解析器(带 TLS)。
  • Knot Resolver- 缓存完整的解析器实现,包括解析器库和守护进程。
  • PowerDNS- 一个开源的权威 DNS 服务器,使用 C++ 编写,并根据 GPL 许可。
其他服务
- 3proxy- 小型免费代理服务器。
安全/加固
  • Emerald Onion- 一个 501(c)(3) - 非营利组织和互联网服务提供商 (ISP)。
  • Pi-hole- Pi-hole® 是一个 DNS 拦截器,可以保护您的设备免受有害内容的侵害。
  • maltrail- 恶意流量检测系统。
  • security_monkey- 监控 AWS、GCP、OpenStack 和 GitHub 组织中的资产及其随时间的变化。
  • firecracker- 安全快速的微型虚拟机,适用于无服务器计算。
  • streisand- 设置一台新服务器,运行您选择的 WireGuard、OpenSSH、OpenVPN 等。

网络 [目录]

工具
  • CapAnalysis- 用于分析大量捕获的网络流量(PCAP 分析器)的 Web 可视化工具。
  • netbox- IP 地址管理 (IPAM) - 和数据中心基础设施管理 (DCIM) - 工具。
实验室
- NRE Labs- 边做边学自动化。现在,就在这里,在您的浏览器中。
其他
- LBNL 网络研究组- 网络研究组 (NRG) - 的主页。

容器/编排 [目录]

CLI 工具
  • gvisor- 容器运行时沙箱。
  • ctop- 用于容器指标的类似 top 的界面。
网络工具
  • Moby- 一个面向容器生态系统的协作项目,旨在构建基于容器的系统。
  • Traefik- 开源反向代理/负载均衡器,可更轻松地与 Docker 和 Let's Encrypt 集成。
  • Kong- 云原生 API 网关。
  • Rancher- 完整的容器管理平台。
  • portainer- 让 Docker 管理变得简单。
  • nginx-proxy- 使用 docker-gen 为 Docker 容器自动配置 nginx 代理。
  • bunkerized-nginx- nginx docker 镜像“默认安全”。
安全
  • docker-bench-security- 检查部署 Docker 时数十种常见最佳实践。
  • trivy- 容器漏洞扫描器,适用于 CI。
  • Harbor- 一个云原生注册表项目,用于存储、签名和扫描内容。
  • Houdini- 数百个用于网络入侵的攻击性和实用性 Docker 镜像。
手册/教程/最佳实践

手册/操作指南/教程 [目录]

Shell/命令行
文本编辑器
- Vim 速查表- 优秀的 Vim 多语言指南。
Python
Sed & Awk 及其他
- F'Awk Yeah!- 高级 sed 和 awk 用法(渗透测试解析 3)。
*nix 和网络
微软
- AD 攻击防御- 使用现代后渗透活动攻击和防御活动目录。
大型系统
系统加固
安全与隐私
Web 应用程序
一体式
电子书
- 免费编程书籍- 多种语言的免费学习资源列表。
其他

励志清单 [目录]

系统运维/开发运维
开发者
安全/渗透测试
其他

博客/播客/视频 [目录]

系统运维/开发运维
开发者
- 将 C 语言与机器语言进行比较将一个简单的 C 应用程序与该程序的编译机器代码进行比较。
极客人士
极客博客
  • Linux 审计- Michael Boelen 撰写的关于审计、强化和合规性的 Linux 安全博客。
  • Linux 安全专家- 培训、操作指南、检查清单、安全工具等等。
  • 魔法书一本为巫师准备的实用咒语集,无论是电脑巫师、魔法师,还是其他任何巫师。
  • Secjuice- 信息安全领域唯一一家非营利性、独立且由志愿者领导的出版物。
  • Decipher- 提供信息和启发的安全新闻。
极客供应商博客
  • Tenable Podcast- 与网络安全风险相关的对话和访谈,以及其他相关内容。
  • Sophos- 威胁新闻中心,为您提供有关计算机安全问题的新闻、观点、建议和研究。
  • Tripwire 安全状况博客,提供有关当前安全问题的最新新闻、趋势和见解。
  • Malwarebytes Labs 博客一个旨在提供有关网络安全的内部新闻的安全博客。
  • TrustedSec- 网络安全领域的最新新闻和趋势。
  • PortSwigger 网络安全博客- 关于 Web 应用程序安全漏洞以及我们网络安全团队提供的实用技巧。
  • AT&T 网络安全博客提供关于新兴威胁的新闻和简化威胁检测的实用建议。
  • Thycotic- 首席信息安全官和 IT 管理员了解行业趋势、IT 安全等信息的地方。
极客网络安全播客
极客网络安全视频博客
  • rev3rse 安全- 攻击性、二进制漏洞利用、Web 应用程序安全、加固、红队、蓝队。
  • LiveOverflow- 提供比付费在线课程通常提供的更高级的主题,而且完全免费。
  • J4vv4D- 关于我们网络安全的重要信息。
  • Cyber​​Talks- 网络安全相关的演讲、访谈和文章。
其他
- Diffie-Hellman 密钥交换(简版)- Diffie-Hellman 密钥交换的工作原理。

黑客攻击/渗透测试 [目录]

渗透测试人员的工具库
  • Sandcat 浏览器一款面向渗透测试的浏览器,内置了大量高级功能。
  • Metasploit- 用于系统、Web 等渗透测试的工具和框架。
  • Burp Suite- 用于测试 Web 应用程序安全性的工具,可拦截代理进行重放、注入、扫描和模糊测试。
  • OWASP Zed 攻击代理- 拦截代理以重放、注入、扫描和模糊测试 HTTP 请求。
  • w3af- 一个 Web 应用程序攻击和审计框架。
  • mitmproxy- 一款面向渗透测试人员的交互式、支持 TLS 的拦截式 HTTP 代理。
  • Nikto2- 网络服务器扫描器,可对网络服务器执行多项全面测试。
  • sqlmap- 一款能够自动检测和利用 SQL 注入漏洞的工具。
  • Recon-ng- 一个用 Python 编写的、功能齐全的 Web 侦察框架。
  • AutoRecon- 一款网络侦察工具,可自动枚举服务。
  • Faraday- 一个集成的多用户渗透测试环境。
  • Photon- 专为开源情报(OSINT)设计的超高速网络爬虫。
  • XSStrike- 最先进的 XSS 检测套件。
  • Sn1per- 面向攻击型安全专家的自动化渗透测试框架。
  • vuls- 一款适用于 Linux、FreeBSD 等系统的无代理漏洞扫描器。
  • Tsunami- 一款通用网络安全扫描器,具有可扩展的插件系统。
  • aquatone- 域跨越工具。
  • BillCipher- 网站或 IP 地址信息收集工具。
  • WhatWaf- 检测并绕过 Web 应用程序防火墙和保护系统。
  • Corsy- CORS 配置错误扫描器。
  • Raccoon- 一款高性能的攻击性安全工具,用于侦察和漏洞扫描。
  • dirhunt- 无需暴力破解即可查找网站目录。
  • John The Ripper- 一款快速密码破解工具,目前适用于多种 Unix、Windows 和其他操作系统。
  • hashcat- 世界上速度最快、最先进的密码恢复工具。
  • p0f- 一个用于识别任何偶然 TCP/IP 通信背后参与者的工具。
  • ssh_scan- 一个 SSH 配置和策略扫描器的原型。
  • LeakLooker- 查找开放数据库 - 由 Binaryedge.io 提供技术支持
  • exploitdb- 来自漏洞数据库的可搜索存档。
  • getsploit- 一个用于搜索和下载漏洞利用程序的命令行实用程序。
  • ctf-tools- 一些安全研究工具的设置脚本。
  • pwntools- CTF 框架和漏洞利用开发库。
  • security-tools- 一系列主要用 Python 编写的小型安全工具。包括 CTF、渗透测试等等。
  • pentestpackage- 一个包含渗透测试脚本的软件包。
  • python-pentest-tools- 面向渗透测试人员的 python 工具。
  • fuzzdb- 黑盒应用程序故障注入的攻击模式和原语字典。
  • AFL- 由 Google 维护的免费软件模糊测试工具。
  • AFL++- 是带有社区补丁的 AFL。
  • syzkaller- 一个无监督的、覆盖率引导的内核模糊测试器。
  • pwndbg- 使用 GDB 轻松进行漏洞利用开发和逆向工程。
  • GDB PEDA- Python Exploit Development Assistance for GDB。
  • IDA- 多处理器反汇编器和调试器,可用于恶意软件逆向工程。
  • radare2- 用于逆向工程和分析二进制文件的框架。
  • routersploit- 用于嵌入式设备的漏洞利用框架。
  • Ghidra- 一个软件逆向工程 (SRE) - 框架。
  • Cutter- 一个集成了 Ghidra 反编译器的 SRE 平台。
  • Vulnreport- Salesforce 产品安全部门的开源渗透测试管理和自动化平台。
  • Mentalist- 一款用于生成自定义单词列表的图形化工具。
  • archerysec- 漏洞评估和管理有助于执行扫描和管理漏洞。
  • Osmedeus- 全自动攻击性安全工具,用于侦察和漏洞扫描。
  • beef- 浏览器漏洞利用框架项目。
  • AutoSploit- 自动化批量漏洞利用工具。
  • SUDO_KILLER- 一款用于识别和利用 sudo 规则错误配置和漏洞的工具。
  • 雅拉图案匹配的瑞士军刀。
  • mimikatz- 一款用于操控 Windows 安全性的小工具。
  • 夏洛克- 通过用户名在社交网络上查找社交媒体账号。
  • OWASP Threat Dragon- 一款用于创建威胁模型图和记录潜在威胁的工具。
渗透测试书签合集
后门/漏洞利用
- PHP 后门一系列 PHP 后门程序。仅供教育或测试用途。
单词列表和弱密码
  • Weakpass- 适用于任何类型的暴力破解,查找单词列表或一次性释放所有单词列表的强大功能!
  • Hashes.org- 一个免费的在线哈希解析服务,它融合了许多无与伦比的技术。
  • SecLists- 安全评估过程中使用的多种类型列表的集合,集中在一个地方。
  • 可能词表- 按概率排序,最初创建用于密码生成和测试。
  • skullsecurity 密码- 密码字典和泄露密码库。
  • 波兰语高级词典- 由 bezpieka.org 论坛团队创建的官方词典。 * 1 -
  • 统计上可能的用户名- 用于创建统计上可能的用户名列表的单词列表。
赏金平台
  • YesWeHack- 漏洞赏金平台,提供信息安全相关工作。
  • Openbugbounty- 允许任何安全研究人员报告任何网站上的漏洞。
  • HackerOne- 全球黑客社区,旨在发现最相关的安全问题。
  • bugcrowd- 面向企业的众包网络安全解决方案。
  • Crowdshield- 众包安全与漏洞赏金管理。
  • Synack- 众包安全和漏洞赏金计划、众包安全情报平台等等。
  • Hacktrophy- 漏洞赏金平台。
网络培训应用(本地安装)
  • OWASP-VWAD- 全面且维护良好的所有已知易受攻击的 Web 应用程序注册表。
  • DVWA- 一款漏洞百出的 PHP/MySQL Web 应用程序。
  • metasploitable2- 安全研究人员眼中存在漏洞的 Web 应用程序。
  • metasploitable3- 一个从零开始构建的虚拟机,其中包含大量安全漏洞。
  • DSVW- 一个故意设计成存在漏洞的 Web 应用程序,代码量不到 100 行。
  • OWASP Mutillidae II- 免费、开源、故意存在漏洞的 Web 应用程序。
  • OWASP Juice Shop 项目目前已知漏洞最少的应用程序。
  • OWASP Node js Goat 项目- OWASP 十大安全风险适用于使用 Node.js 开发的 Web 应用程序。
  • juicy-ctf- 使用 OWASP Juice Shop 运行夺旗赛和安全培训。
  • SecurityShepherd- 网络和移动应用程序安全培训平台。
  • 安全忍者开源应用程序安全培训项目。
  • hackazon- 一款现代的、存在安全漏洞的 Web 应用程序。
  • dvna- 该死的漏洞百出的 NodeJS 应用程序。
  • django-DefectDojo- 一个开源的应用程序漏洞关联和安全编排工具。
  • Google Gruyere- Web 应用程序漏洞利用与防御。
  • Bodhi- 一个专注于学习如何利用客户端 Web 漏洞的平台。
  • Websploit- 单虚拟机实验室,目的是在一个环境中组合多个易受攻击的应用程序。
  • vulhub- 基于 docker-compose 的预构建漏洞环境。
  • CloudGoat 2- 全新改进的“设计上存在漏洞”的 AWS 部署工具。
  • secDevLabs- 一个以实践方式学习安全 Web 开发的实验室。
  • CORS 漏洞实验室- 示例漏洞代码及其利用代码。
  • RootTheBox- 黑客游戏(CTF 记分板和游戏管理器)。
  • KONTRA- 应用安全培训(OWASP 顶级 Web 和 API)。
实验室(道德黑客平台/培训/CTF)
  • Offensive Security- 十多年来提供真正基于实战的渗透测试培训。
  • Hack The Box- 一个在线平台,可让您测试您的渗透测试技能。
  • Hacking-Lab- 在线道德黑客、计算机网络和安全挑战平台。
  • pwnable.kr- 提供各种 pwn 挑战的非商业性战争游戏网站。
  • Pwnable.tw- 一个供黑客测试和扩展其二进制漏洞利用技能的战争游戏网站。
  • picoCTF- 一款面向初高中学生的免费计算机安全游戏。
  • CTFlearn- 一个旨在帮助道德黑客学习和实践网络安全知识的在线平台。
  • ctftime- CTF 存档和获取其他 CTF 相关信息的地方。
  • 西里西亚安全实验室提供高质量的安全测试服务。
  • 实用渗透测试实验室- 渗透测试实验室,将您的黑客技能提升到一个新的水平。
  • Root Me- 快速、简单、经济实惠的黑客技能训练方式。
  • rozwal.to- 一个训练渗透测试技能的绝佳平台。
  • TryHackMe- 让网络安全学习变得轻松。
  • hackxor- 一款逼真的网页应用黑客游戏,旨在帮助各种能力的玩家提升技能。
  • 先攻击自己它充满了危险的应用程序安全漏洞。
  • OverTheWire- 可以通过充满乐趣的游戏形式帮助您学习和练习安全概念。
  • Wizard Labs- 一个在线渗透测试实验室。
  • PentesterLab- 提供可用于测试和了解漏洞的易受攻击系统。
  • RingZer0- 海量挑战,旨在测试和提高您的黑客技能。
  • try2hack- 为您提供多种安全挑战,供您娱乐。
  • Ubeeri- 预配置的实验室环境。
  • Pentestit- 模拟真实公司的 IT 基础设施,用于合法的渗透测试和提高渗透测试技能。
  • 微腐败在网页界面中完成的逆向挑战。
  • Crackmes- 下载 crackmes 以帮助提高您的逆向工程技能。
  • DomGoat- DOM XSS 安全学习和实践平台。
  • 刻板的挑战立即升级您的网络黑客技术!
  • Vulnhub- 让任何人都能获得数字安全方面的实践经验。
  • W3Challs- 一个渗透测试培训平台,提供各种计算机挑战。
  • RingZer0 CTF- 为您提供大量旨在测试和提高您的黑客技能的挑战。
  • Hack.me- 一个可以构建、托管和共享存在漏洞的 Web 应用程序以用于教育目的的平台。
  • HackThis!- 了解黑客攻击、数据泄露和篡改是如何进行的,并保护您的网站。
  • Enigma Group WebApp 培训- 这些挑战涵盖了 OWASP Top 10 项目列出的漏洞。
  • 逆向工程挑战- 按级别、类型等分类的挑战、练习、问题和任务。
  • 0x00sec- 黑客之家 - 恶意软件、逆向工程和计算机科学。
  • 我们挑战存在许多不同类型的挑战。
  • Hacker Gateway- 黑客们测试自身技能的首选之地。
  • Hacker101- 一门免费的网络安全课程。
  • containing.af- 一款用于学习容器、功能和系统调用的简单游戏。
  • flAWS 挑战!- 一系列关卡,让了解使用 AWS 时常见的错误和陷阱。
  • Cyber​​Sec WTF- 提供源自赏金报告的网络黑客挑战。
  • CTF 挑战赛- CTF Web 应用程序挑战赛。
  • gCTF- 2017 年 Google CTF 中使用的大部分挑战。
  • Hack This Site- 是一个免费、安全、合法的黑客训练平台。
  • 攻击与防御是一个基于浏览器的云实验室。
  • Cryptohack- 一个学习现代密码学的有趣平台。
  • Cryptopals- Cryptopals 加密挑战。
CTF 平台
其他资源

每日知识与新闻 [目录]

RSS 阅读器
  • Feedly- 整理、阅读和分享对重要的内容。
  • Inoreader- 类似于 Feedly,支持过滤从 RSS 获取的内容。
IRC 频道
- #hackerspaces- 黑客空间 IRC 频道。
安全
  • Hacker News- 领先的新闻来源,致力于提高安全专家和黑客的安全意识。
  • 最新黑客新闻- 为道德黑客提供最新的黑客新闻、漏洞利用和安全漏洞信息。
  • 安全简讯- 每周以摘要形式(电子邮件通知)提供安全新闻。
  • Google 网络安全博客- 来自 Google 的最新互联网安全资讯和见解。
  • Qualys 博客- 网络安全专家指导和新闻。
  • DARKReading- 连接信息安全社区。
  • Darknet- 最新黑客工具、黑客新闻、网络安全最佳实践、道德黑客和渗透测试。
  • publicDisclosed- 公开披露观察器,让您及时了解最近披露的漏洞。
  • Reddit - Hacking- 一个专门讨论黑客技术和黑客的子版块。
  • Packet Storm- 信息安全服务、新闻、文件、工具、漏洞利用、建议和白皮书。
  • Sekurak- 关于安全、渗透测试、漏洞等等(PL/EN)。
  • nf.sec- Linux 操作系统安全的基本方面和机制(PL)。
其他/多合一
- Changelog- 是一个黑客社区;为开发者和黑客提供新闻和播客。

其他速查表 [目录]

构建您自己的 DNS 服务器
  • Unbound DNS 教程- 一个具有验证、递归和缓存功能的 DNS 服务器。
  • Fedora 上的 Knot Resolver- 如何在 Fedora 上使用 Knot Resolver 获得更快、更安全的 DNS 解析。
  • DNS over HTTPS- 设置您自己的 DNS over HTTPS (DoH) - 服务器的教程。
  • dns-over-https- DNS over HTTPS 的卡通介绍。
  • DNS-over-TLS- 按照您的 DoH 服务器的指示,设置您的 DNS-over-TLS (DoT) - 服务器。
  • DNS 服务器- 我如何(以及为什么)运行自己的 DNS 服务器。
构建您自己的证书颁发机构
构建您自己的系统/虚拟机
回复 点赞 举报
😀 😊 😵‍💫 😡 🤝 🙏 👍 👎 ❤️