wiki_SecSolution.md

安全解决方案

• https://www.nist.gov/topics/cybersecurity //美国国家标准与技术研究院。NVD漏洞库
• https://www.mitre.org/publications/all //mitre安全机构。CVE漏洞库
• https://www.alibabacloud.com/blog //阿里安全建设
• https://security.tencent.com/index.php/blog/msg/139 //腾讯安全建设。网络空间安全时代的红蓝对抗建设。
• https://security.tencent.com/opensource/detail/19 //腾讯开源的xSRC应急响应中心cms框架。
• https://github.com/baidu-security //百度安全建设
• https://ai.google/research/pubs/?area=SecurityPrivacyandAbusePrevention //谷歌安全建设
• https://aws.amazon.com/cn/blogs/security/ //亚马逊安全建设
• https://code.fb.com/category/security/ //Facebook安全建设
• http://www.freebuf.com/articles/ics-articles/178822.html //浅析煤炭企业如何进行工控安全建设
• https://www.sec-un.org/金融业企业安全建设之路/ //金融业企业安全建设之路。niejun
• https://blogs.cisco.com/tag/ios-security //思科网络设备操作维护系统IOS（互联网操作系统Internetwork Operating System）

安全建设防御方案

• https://github.com/JacksonBruce/AntiXssUF //C#。跨站脚本攻击（XSS）过滤器，以白名单的过滤策略，支持多种过滤策略。
• "网页安全政策"（Content Security Policy，缩写 CSP）防御xss，可以通过网页meta标签和http头。开启httponly；更换chrome；
• https://www.bbsmax.com/A/1O5EvMgyd7/ //CORS（跨域资源共享）的防御机制
• https://www.freebuf.com/articles/web/227694.html/ //垃圾邮件防御手段，通过SPF记录；DKIM数据签名进行；DMARC策略（基于SPF和DKIM协议的可扩展电子邮件认证协议）。关于钓鱼邮件的学习笔记
• https://zhuanlan.zhihu.com/p/43716885/ //使用knockd管理高危端口。
• https://search.freebuf.com/search/?search= //OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险

红队基础设施自动化部署建设

• https://github.com/QAX-A-Team/LuWu //Bash。红队基础设施自动化部署工具
• 公众号：红队攻防全流程解析 //
• https://github.com/chryzsh/DarthSidious //从0开始你的域渗透之旅。渗透测试域环境搭建。G:/crazywa1ker/DarthSidious-Chinese;--

安全实验室中心建设

• https://www.freebuf.com/articles/es/211571.html //安全实验室的发展及展望
• 公众号：开篇|猪八戒安全建设漫谈 安全体系建设分享01期|目标、团队、考核 //
• https://bbs.ichunqiu.com/thread-53927-1-1.html //奇安信「实战攻防三部曲」要点总结。实战攻防之红蓝紫队
• https://github.com/Leezj9671/offensiveinterview //安全/渗透测试/红队面试题.G:/WebBreacher/offensiveinterview;

安全风控建设

• https://github.com/threathunterX/nebula //LUA/Perl。威胁猎人开源"星云"业务风控系统
• https://github.com/momosecurity/aswan //Py。陌陌风控系统静态规则引擎，零基础简易便捷的配置多种复杂规则，实时高效管控用户异常行为。
• https://github.com/xdite/internet-security //互联网金融企业安全与风控的实战手册。资安风控

安全开发

• https://github.com/FallibleInc/security-guide-for-developers //安全开发规范
• https://www.securitypaper.org/ //SDL建设文档。开发安全生命周期管理
• https://github.com/Hygieia/Hygieia //JS。Capitalone银行开源的DevOps利器
• https://snyk.io/ //无服务器，环境漏洞检测。SDL建设。G:/snyk/snyk;
• https://mp.weixin.qq.com/s/STBzFf-NtfbDEA5s9RBdaw/ //公众号：秦波 大型互联网应用安全SDL体系建设实践

产品设计原型

• https://www.fireeye.com/cyber-map/threat-map.html //FireEye公司“网络威胁地图”
• https://cybermap.kaspersky.com/ //卡巴斯基(Kaspersky)的“网络实时地图”
• http://www.digitalattackmap.com/ //Arbor networks的由全球270个ISPs匿名分享流量的“数字攻击地图”
• https://hubble.nexusguard.com //Nexusguard Hubble攻击地图
• https://echarts.baidu.com/examples/index.html#chart-type-globe //Echart图
• https://book.yunzhan365.com/dksd/oyru/mobile/index.html //基于攻击链的网络威胁捕猎架构设计
• http://www.colasoft.com.cn/download/network-defense-map-2018.pdf //科来网络攻击与防范图谱
• https://www.anquanke.com/post/id/178339 //漏扫动态爬虫实践。pyppeteer
• https://www.jianshu.com/p/852e0fbe2f4c //安全产品厂商分类
• https://github.com/xianlimei/yiwei.github.io/wiki //私有云、区块链安全研究，rasp、waf、主机安全产品介绍

产品设计文档

• https://www.freebuf.com/sectool/135032.html/ //构建一个高交互型的难以发现的蜜罐
• https://bloodzer0.github.io/ossa/ //OSSA，利用开源组件进行架构.主机、扫描器、端口、日志、防护设备等安全建设。goodjob。
• https://github.com/dvf/blockchain //用Python从零开始创建区块链
• https://paper.seebug.org/913/ //如何打造自己的PoC框架-Pocsuite3-框架篇。simple。
• https://github.com/lenve/javadoc //Java 企业级项目需求文档

安全运营中心(SOC)建设

• https://www.secrss.com/articles/8051 //谈一谈如何建设体系化的安全运营中心(SOC)
• http://www.freebuf.com/articles/network/169632.html //开源软件创建SOC的一份清单
• http://paper.tuisec.win/detail/34ab12018f71e71 //个人总结的漏洞管理流程分享
• https://www.secrss.com/articles/4088 //安全资产管理中容易被忽视的几点。niejun
• 公众号：评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护（上、下）
• 公众号：终端安全运营年度笔记 //
• https://github.com/correlatedsecurity/Awesome-SOAR //安全编排、自动化及响应
• https://github.com/zbnio/zbn //Py。安全编排与自动化响应平台。

安全运维

• https://github.com/aqzt/kjyw //快捷运维，代号kjyw，项目基于shell、python，运维脚本工具库，收集各类运维常用工具脚本，实现快速安装、快速配置策略等。安全专题
• https://github.com/openspug/spug/ //JS,Py。轻量级无Agent的自动化运维平台，整合了主机管理、主机批量执行、主机在线终端、文件在线上传下载、应用发布部署、在线任务计划、配置中心、监控、报警等功能。

等保安全

• https://mp.weixin.qq.com/s/gcohsAQSHHCVoG-HlYYaeg //公众号：等级保护测评方法（精华版）

ACL策略安全

• https://www.4hou.com/penetration/5752.html //Intro。域渗透提权分析工具 BloodHound 1.3 中的ACL攻击路线。
• https://github.com/canix1/ADACLScanner //Powershell3。AD域的DACLs、SACLs报表生成。
• https://github.com/cahi1l1yn/aclAuditor/ //Py。网络设备ACL策略隐患审计，支持华为、华三、思科、锐捷等主流品牌的路由、交换、防火墙。

运维手册

• https://www.cisecurity.org/cis-benchmarks/ //CIS总结的140多种配置基准
• https://github.com/aqzt/sso //服务器安全运维规范（Server security operation）
• https://github.com/imthenachoman/How-To-Secure-A-Linux-Server //Linux服务器保护。9k

Nginx配置

• https://github.com/bunkerity/bunkerized-nginx //nginx安全镜像docker一键配置。
• https://github.com/trimstray/nginx-admins-handbook //nginx操作手册。8k
• https://github.com/valentinxxx/nginxconfig.io/ //在线nginx配置文件生成，W:nginxconfig.io;--

安全基线检查

• https://www.open-scap.org/ //安全基线评估工具集
• https://github.com/re4lity/Benchmarks //常用服务器、数据库、中间件安全配置基线 ，基本包括了所有的操作系统、数据库、中间件、网络设备、浏览器、安卓、IOS、云服务的安全配置。
• https://github.com/Jsitech/JShielder //linux下服务器一键加固脚本
• https://github.com/trimstray/linux-hardening-checklist //Linux服务器加固基线
• https://github.com/a13xp0p0v/kconfig-hardened-check //用于检查 Linux 内核配置中的安全加固选项的脚本
• https://gist.github.com/mackwage/08604751462126599d7e52f233490efe //Windows安全加固命令
• https://github.com/wstart/DB_BaseLine //数据库检查基线工具
• https://github.com/drduh/macOS-Security-and-Privacy-Guide //Py。MacOS安全性基线。

安全测试CheckList

• https://github.com/juliocesarfort/public-pentesting-reports //由几家咨询公司和学术安全组织发布的公共渗透测试报告的列表。
• http://pentestmonkey.net/category/cheat-sheet //渗透测试常见条目
• https://github.com/0xRadi/OWASP-Web-Checklist //owasp网站检查条目
• https://mp.weixin.qq.com/s/O36e0gl4cs0ErQPsb5L68Q //公众号：区块链、以太坊智能合约审计 CheckList
• https://github.com/slowmist/eos-bp-nodes-security-checklist //区块链，EOS bp nodes security checklist（EOS超级节点安全执行指南）
• https://www.cnblogs.com/jurendage/p/12653865.html //TecTeach。Java生鲜电商平台-API接口设计之token、timestamp、sign 具体架构与实现（APP/小程序，传输安全）。
• https://blog.csdn.net/qq_39541626/article/details/104891590 //TecTeach。小程序、公众号安全测试list。
• https://github.com/shieldfy/API-Security-Checklist //api开发核对清单。12k。
• https://github.com/GitGuardian/APISecurityBestPractices //api接口测试checklist。
• https://xz.aliyun.com/t/2089 //金融科技SDL安全设计checklist。

安全测试速查表

• https://github.com/HarmJ0y/CheatSheets //多个工具速查手册（Beacon / Cobalt Strike，PowerView，PowerUp，Empire和PowerSploit）G:/louchaooo/kali-tools-zh;G:/b1n4ry4rms/RedTeam-Pentest-Cheatsheets/;--
• https://mp.weixin.qq.com/s/y3IdYSIDckQTaPgNQMS7Cg //公众号：常见端口渗透笔录
• https://tool.oschina.net/commons/ //常用对照表。http文件类型、转码、转义、端口、状态码、字体。
• https://book.hacktricks.xyz/ //端口漏洞对应，渗透命令，提权技巧。goodjob。W:ired.team;
• https://github.com/swisskyrepo/PayloadsAllTheThings //Web渗透/CTF/XXE/常用脚本命令payloads。8K,goodjob。
• https://www.octority.com/pepenote/ //10w行渗透测试命令

IPv6安全

• https://github.com/sfan5/fi6s //ipv6端口快速扫描器
• https://github.com/fgont/ipv6toolkit //C。si6networks.com组织的ipv6工具集
• https://github.com/lavalamp-/ipv666 //Go。ipv6地址枚举扫描
• https://github.com/christophetd/IPv6teal //Py。利用ipv6隐蔽隧道传输数据

合规审计

• https://github.com/momosecurity/bombus //Vue,Py。依据为SOX法案陌陌开源的安全合规审计平台

区块安全

• https://github.com/quoscient/octopus //区块链智能合约安全分析工具
• https://github.com/ConsenSys/mythril-classic //以太坊智能协议区块链安全分析工具

云安全

• https://cloud.tencent.com/developer/article/1621185 //【云原生攻防研究】针对容器的渗透测试方法
• https://github.com/dafthack/CloudPentestCheatsheets/ //云渗透备忘单，云服务检查清单
• https://github.com/brompwnie/botb //Go。BOtB容器安全分析和脆弱点利用工具。利用CVE-2019-5736、DockerSocket或特权模式进行容器逃逸。

容器安全

• https://vulnerablecontainers.org //对公开docker容器镜像漏洞扫描，并标出CVE号
• https://github.com/P3GLEG/WhaleTail //根据docker镜像生成成dockerfile
• https://github.com/cr0hn/dockerscan //docker扫描工具
• https://github.com/knqyf263/trivy //Go。针对容器的漏洞扫描器。2K。

Kubernetes集群安全

• https://github.com/aquasecurity/kube-hunter //Py。采用了KHV + 数字进行漏洞编号，云原生环境Kubernetes框架漏洞扫描工具。W:info.aquasec.com/kubernetes-security;--
• https://github.com/inguardians/peirates //Go。Kubernetes集群的渗透测试工具，专注于权限提升和横向移动。
• https://github.com/kabachook/k8s-security/ //bash,Py。Kubernetes安全集合。
• https://github.com/aquasecurity/kube-bench //Go。Kubernete安全检测工具，符合cisecurity.org/benchmark/kubernetes/基准测试。

亚马逊AWS安全相关

• https://github.com/RhinoSecurityLabs/Cloud-Security-Research //Py。AWS云安全研究，工具集。
• https://github.com/RhinoSecurityLabs/pacu //亚马逊AWS漏洞检测框架
• https://github.com/stuhirst/awssecurity/blob/master/arsenal.md //AWS 安全检测相关的项目列表
• https://github.com/toniblyx/my-arsenal-of-aws-security-tools //AWS安全工具集
• https://github.com/sa7mon/S3Scanner //扫描amazon公开的S3 buckets和dump
• https://github.com/kromtech/s3-inspector //检测亚马逊AWS S3 bucket permissions
• https://github.com/jordanpotti/AWSBucketDump //枚举AWS S3 buckets以查找敏感机密的文件
• https://github.com/Netflix/repokid //AWS 最低权限策略部署工具
• https://github.com/dowjones/hammer //Py。AWS的多账户云安全工具，可识别不安全配置与资源中的敏感信息，良好的报告与修复功能。