几本靠谱的渗透测试的书籍

http://www.freebuf.com/news/others/12323.html

0x01 我先分享下，怎么买书吧。
1、书店购买，可以慢慢寻找内容合适自己的，选中拿着结账走人，这种感觉是网购无法代替的。但价格很贵，一般不建议新华书店买，原价不打折，打折也几乎没太可能是计算机书，VIP会员也不打折。
2、网上购买，可以书店选好了网上买。
3、电子书，买个Kindle，价格也就在800左右，800块钱对计算机书来说，也可能就几本而已。然后就是网上下载PDF看，有些书的PDF不一定可以下载到，下载不到的可以去买盗版的PDF，估计很多人不知道吧，你到www.szdnet.org.cn（深圳文献港）去搜索你想看的书，如果有“试读”链接，你就可以去淘宝找人帮你下载（就搜索“深圳文献港”），也就2块钱一本吧（有些店家会按页数算钱，这个瞎扯的）。一般来说，出版了半年以上的书都可以下载到，是扫描版的哈。
0x02 预备书籍
《如何阅读一本书》:这本书我没看纸质书，是下载的，所以没照片。如果要买纸质版本的，去搜索吧，作者是莫提默•J.艾德勒。不要被书名雷到，里面讲了阅读各种书的方法，其中提到一点：看懂了，并不表示你会了，你能把你的理解口述一遍出来吗？想想，学习操作系统原理或者一个漏洞的时候，看完别人的书或者文章，可以再闭书口述出自己的理解吗？或者看完一本语言书，你能写个爬虫之类的东西出来吗。
《专注力》：这本我也看的电子版，看这本书是因为看《暗时间》里提到的，作者是埃伦•兰格。这本书不是讲如何提高专注力的，而是讲人们为何失去了专注力，当你学会了一个知识，却不能灵活使用。
《暗时间》：还是看的电子书，一本前半部分心理学，中间夹点数学，后面讲点算法的书。
《番茄时钟工作法》：
简单好用的时间管理方法，我自己看书的时候，就喜欢用番茄时钟法来看书。当你看完这本书的时候，你会发现，里面所有讲的跟操作系统里进程管理机制相差不大：）
《集异壁》：艺术，数学，计算机为一体的神书，我推荐大家看，但不推荐不想深入理解计算机和数学中一些思想的人看：）
0x03 基础书籍
来吧，英语，《我的第一本英语语法书》：
恶补下英语是很必要的，关于它好处，就不多说了，这本书讲得很细，网上有pdf版。
《程序员的数学》
里面涉及的数学点基本上是中学的内容，不过作者是从程序员角度去写的，对曾经成绩不好的的伙伴来说可以好好补下。
《离散数学及其应用》：
一口气看完不太可能，里面的集合、逻辑、条件命题、算法等等很有必要好好看看，作者写得很易懂，并且例题很多，例题的答案可以去网上下（原作者只提供了题号是奇数的答案，不过网上已经能下载到奇偶中文版的答案了）
不过在读这些的时候，最好有点代数基础，代数基础可以去网易公开课里看可汗学院的代数内容，可汗学院的公益学习视频很赞，不仅免费，而且讲得特别细，数学是从1+1开始讲的！绝对不要认为作者侮辱广大的智商，看完之后可以把你学校的东西忘记了。
0x04 计算机基础书
掌握两三门程序语言吧，必备的C语言，再学一门脚本语言，我推荐python。不懂C语言，很难触摸到系统底层或者偏向底层的东西;掌握Python嘛，日常工作就很方便了，搞安全的，无论是调试漏洞，还是写exp。
《C语言编程：一本全面的C语言入门教程》：
http://dwz.cn/QJY9o
什么？C语言看谭浩强的C语言书？呵呵，那本只会你写代码，还不会编程，并且水平还很一般。这本书是我高一的时候看的，现在市面上已经有很多比较好的C书了，并且这本书已经绝版了，不过网上可以下载到PDF。
《C程序设计语言》：这本书我看的电子版的，作者是克尼汉，不是谭浩强。这本书的文字非常精炼，没有废话，但却切中了关键知识点，入门的话，估计看这本有点吃力，稍微有点点基础再看吧。
《Python学习手册》：最新版的第四版已经出了，我看的第三版，第四版比第三版厚太多了。。这本书是细致剖析python语言，帮助读者真正理解透Python，而不是讲标准库的，想学习库，可以看《Python核心编程》，也是很赞的。我想说的是，这本书里讲面向对象讲得非常好，讲了Python面向对象的工作方式，比如继承类的工作原理之类的，比那些瞎扯淡的面向对象书好多了——什么人是一个类，男人是一个对象，女人也是一个对象这些高度抽象的。
如果你习惯了Python写点代码，《python参考手册》可以说是手头必备的。两本python书一起学习后，做做知道创宇的面试题，爬虫 http://dwz.cn/QJY9u，强烈推荐大家做：）
嗯，不过想提高编程技艺的，继续往下看：
《程序设计方法》：网上流传着电子版的，中文名《如何设计程序程序设计和计算引论》，建议下电子版来看，书的英文名是《how to design programs》，我是下载后打印看的
这本书介绍了程序设计的很多思想，刚入门的童鞋想提高编程能力可以看看，不过作者用的Scheme语言描述的（lisp的一种），其实这本书就是Scheme的入门书了。。。
《代码整洁之道》：你还在写屎一样的代码吗？过两天就看不懂了？或者一个函数完成了所有功能？或者还在跟着你大学老师用a、b、c做变量名？看看吧。这本书我是大学时在图书馆借来看的，所以没有照片。最疯狂的是，我当时在写一个webapp，看完之后，就把写了一半的代码全部删了重头写的，因为我无法忍受自己糟糕的代码风格：）
当然，如果当时我看了这本书——《重构》，我可能不会删掉，而是用《重构》中的思想，努力把代码变漂亮：）
虽然《重构》是用java描述的，并且版本还很老，却思想不过时，不需要java基础，同样可以用到php之类的语言上：）
《编程匠艺》：这本我还是看的pdf，你还老在写容易出错的代码吗？或者你对某个cms写的exp，老出错，url不打 http://开头程序要崩溃;网络不通畅程序也要崩溃;少给程序带个参数，也崩溃了。推荐好好看看吧，学习下防御编程的思想。
《正则指引》：想学会绕过WAF规则之类的同学可以看看，正则表达式入门的书，书中正则主要以python来示范的
《深入PHP 面向对象、模式与实践》：想以php为主，学习下设计模式和入门面向对象，或者源码审计的时候，想摸清楚人家代码的整体架构，绝对要看看啊。
PHP，我觉得就看看官方文档，再看看这本书，就够了：）
《汇编语言》：王爽的，嗯，虽然不是讲32位的，想学汇编的还是看看吧。
《数据结构C语言版》：这本书很老了，早就买不到了。里面对每个数据结构都有完整的代码，虽然里面部分C语方面的有错误，但作为入门书还是值得看一看，网上搜索“《数据结构C语言版》中国铁道出版社”可以下载到。
还想更进一步提高的，来学算法吧：）
《程序语言的奥妙：算法解读》：这本书表面看上去真像小学生的读本。。。呵呵。。。但适合没基础的人看。如果觉得买这本面子上过不去，就下pdf吧，网上有。
《算法概论》：说学算法，看《算法导论》？还是《计算机程序设计的艺术》？呵呵呵。。你能看懂，估计我推荐的很多书你也不用参考了，反正我是看不懂的，并且这两本书的行文风格完全是参考书风格，很多地方不太好读懂，看看算法概论吧。《算法之道》也是本类似的书，看上去有点zip(《算法概论》+《算法导论》)（压缩）的感觉，并且加入了一些哲学方面的，而我文化程度不高，并没领悟到里面很多哲学的含义
0x05 网络入门
如果你还不会划分ip网段，不能区分路由器和交换机，不知道家用的“路由器”是交换机+路由器为一体的，不知道为何开通2M的宽带，下载速度却没有2M，可以看看这些书，作为一名网管出身的程序员，推荐几本网络方面的书还是可以的。
《TCP/IP指南》：学TCP/IP协议，很多人直接就说《tcp/ip详解》三卷看完了就可以了，我觉得这是瞎扯：1、第一卷还好，不是特别难，只是没ipv6，当然最新版的《tcp ip详解》已经有ipv6内容了，不过还没出中文版;2、卷2是讲tcp/ip栈的源码实现，你又不做协议方面的专家，看这本干嘛？我到现在都没看完，一个是太厚了，二个是看完了也对我目前用处不大，看看理论，理解下就行了：）3、卷3主要是应用层上的协议，这本书很多东西比较老啦：）
所以推荐看看《TCP IP指南》，纯理论的，估计要看懂，得花大半年的时间了，我看完第一卷花了四个月，当时刚上大一，再加上哥打小就没听课的习惯，所以基本上从早看到晚，因为当时感觉理解不太透彻，书很大部分看了两遍，基本上大一上学期完了，才看完：）大一下学期的时候，开设了CCNA课程，一直开设到大二上期，感觉很一般，因为自认为对TCP/IP协议栈理论方面掌握不错了，就没听过课，上课就啃其他书去了，基本上当时思科在线考试都90+的分数，还不错，然后我以为这辈子注定当网管了，就买了本《CCNA学习指南》，准备先过了CCNA去当网管，搞点windows/linux安全维护还不错的，当时因为有了比较扎实的理论基础，这本书我两周就拿下了，之后又在图书馆借了《堆栈攻击八层网络安全防御》，还看了《黑客大曝光》等等，tcp ip协议安全方面的过了一遍吧，真的就准备投身网管了，直到知道创宇在成都有了公司，汗，果断放弃网管，半路出家当起了python码农，所以就有了上面推荐一大堆编程书。
所以网络方面想入门的，可以看看《CCNA学习指南》和tcp ip指南。
0x06 Windows方面的
Windows我就只推荐《深入解析Windows操作系统》、潘爱民的《Windows内核原理与实现》和《软件调试》了，这三本书对Windows底层学习都很好的，我当时的学习曲线是，看《深入解析Windows操作系统》，某些知识点想细致的就看的《Windows内核原理与实现》，想跟接近系统点的，就跟着《软件调试》走。很多年不搞windows了，就不多说了，已经没那个资格了。。。。
另外，我就看过《rootkits》、《天书夜读》、《windows系统编程》、《恶意软件分析诀窍与工具箱》之类的，还有一些就不想说了，Windows的说多了一把泪啊。。。。
0x07 Linux方面的
当时学校白天要断电，而我的笔记本装Linux，它的电源管理没Windows那么好，加上用的Ubuntu，没有做过内核方面的单独编译以及优化的，耗电非常快，所以学习Linux就买了本《鸟哥的私房菜》
其实Linux看在线的电子书就可以了，鸟哥私房菜也有pdf的，而且相对书来说可能更新一点：）
shell编程推荐《LINUX SHELL脚本攻略》，我看的pdf，就没图了。
===========ps：后面的我真的不想再上传图了，累死了，早饭都没吃，很饿。
0x08 补充点底层知识
《深入理解计算机系统》：这本国外经典的教材，真心推荐看一遍，看了前200多页，也能算反汇编入门了：）
《操作系统精髓》：学操作系统原理，多看这本书吧，里面对比了多个操作系统的各方面实现机制，比如Linux和Windows。
如果想实际学下操作系统，可以看：
《linux内核设计艺术》：用的linux0.11版的内核，92年版的，但那时候linux已经有了操作系统各方面了，这本书我还没看完，但图文并茂，理解起来也很轻松。这本书最近才出了新版本。
《30天自制操作系统》：去年夏天出的本书，小日本写的，没有传统的那些乱七八糟操作系统理论，很随性的实现，而且还实现了图形界面。作者讲解也是从一步步解决问题入手的，值得一看
《理解Unix进程》：关于进程方面的编程可以看看，书很薄，图灵社区有pdf卖，作者用的ruby语言描述的。
0x09 终于到安全方面的书了
我觉得安全方面的书不用买太多，特别是那些啥黑客入门的千万不要买，国内网络安全已经发展了10多年了，网上有很多不错的社区和资讯站经常更新新东西，比如freebuf，买几本垫底下基础知识就ok了：）
想学习偏向缓存溢出和应用安全的，除了要学习系统底层方面的，之前已经介绍了部分书了，下来来实际操作的：
《黑客之道》：主要是Linux平台的溢出吧，这本书还是老了，但内容依旧值得学习，自己下载pdf吧：）
《0day安全》：王清写的第一版陪我度过了512地震。。。这本书真的被我翻烂了。。第二版修复了第一版很多错误，并且加入了许多绕过保护机制的内容。
《0day》：爱无言兄弟写的，个人觉得这就是你以前杂志稿子的合集，不过还是值得学习应用层，还是值得看：）
《安全漏洞追踪》：书很老，但这本书对我影响蛮大的，看了这书，才真正把安全意识带入到实际开发中，这书是我在图书馆借的，当时手抄了绝大部分精华内容：）
黑客方面综合的书：
《灰帽黑客》：去年出了新版，老版本时，我可是饿了好久肚子，用生活费买的：）书里面涉及很多，渗透到漏洞分析
《黑客大曝光》：真正值得看的就这一本了，伙伴们：）最近出了新版了。
《web前端黑客》：余弦的书，国内第一本专注前端方面的书，必须赞一个，我个人比较喜欢看专注某一个方面的书。
《白帽子讲Web安全》：刺的书，web安全方面涉及很多，不过总体有点偏向企业级的
《黑客攻防技术宝典:Web实战篇》：书名太难听了，里面罗列的很多让我反而更觉得这书给搞安全开发的人看更合适：）
《sql注入攻击与防御》：一本专注讲sql注入的，又是一本专注的书，现在看来都还是很不错，有很多技巧：）
web方面看看《web前端黑客》、《白帽子讲Web安全》和《黑客攻防技术宝典:Web实战篇》作为基础知识垫底就够啦，网上每天到处都是漏洞公布的，多看看那些，多分析下效果更好的：）
以上书的图就不上了，我觉得来张合照也不错，下面，来张我半年前的书的合照吧（现在还要再多一列），然后结束本次的推荐，写那么多真的很累，今天就随便写了几本，以后有机会再写吧。。。

传送门： http://dwz.cn/QJYab

几本靠谱的渗透测试的书籍相关推荐

python渗透测试编程技术基础书评_【新手必看】渗透测试学习书籍推荐
Web综合渗透方向 <Web安全攻防:渗透测试实战指南> 该书出版于2018-7,全书416页,涉及知识面虽广,但90%的知识点都不深入,在新手层面相对深入讲解了SQL注入的利用:知识排序 ...
基本靠谱的渗透测试书籍
http://www.freebuf.com/news/others/12323.html 0x01 我先分享下,怎么买书吧. 1.书店购买,可以慢慢寻找内容合适自己的,选中拿着结账走人,这种感觉是网 ...
【2023年最新版】渗透测试入门教程，手把手带你进阶渗透测试工程师，学完即可就业
前言学习网络渗透技术是一件靠兴趣驱动的事情,只有强烈热爱一件事才能持之以恒的去做,对于那些三分钟热度的人来说还是劝你放弃吧,因为网络渗透技术自学需要很多方面的知识,没耐心是无法学会的. 当然除了有想 ...
2023年如何入门渗透测试
转眼间,从大三开始学安全,到现在也有五年了,也算是对渗透测试有一定理解,公众号准备出一些入门教程,以实操为主,希望可以帮助到想入门渗透测试的小白.如果觉得有用,可以在文章后面支持一下我,作为我写下去的 ...
Web应用程序渗透测试你都知道这些吗？如何选择软件检测机构
软件渗透测试软件是Web 应用程序最常用的安全测试技术.Web 应用程序渗透测试是通过在内部或外部模拟未经授权的攻击以访问敏感数据来完成的. 网络渗透有助于最终用户发现黑客从互联网访问数据的可能性,了 ...
谈谈对后台登陆页面的渗透测试
前言有些朋友在渗透时扫描到后台登陆界面,却不知道如何入手.最近刚好在某公司做安全顾问,对目标固定的系统渗透有些体会.因此这里讲一下对网站后台登陆界面的渗透思路,希望能为大家提供一些帮助. 开始本人 ...
最新最好的八款渗透测试工具
本文介绍的渗透测试工具包括:Metasploit.Nessus安全漏洞扫描器.Nmap.Burp Suite.OWASP ZAP.SQLmap.Kali Linux和Jawfish(Evan Saez ...
渗透测试 ( 1 ) --- 相关术语、必备工具、导航、全流程总结、入侵网站思路
From:https://zhuanlan.zhihu.com/p/401413938 渗透测试实战教学:https://www.zhihu.com/column/c_1334810805263515 ...
查询Master下的系统表和系统视图获取数据库的信息和简单的渗透测试
在SQL中可以通过查询Master下的系统表(sys)和系统视图(information_schema)获取数据库的信息.SQL2000和SQL2005的结构略有不同. 系统表结构参考系统表详细说明. ...

几本靠谱的渗透测试的书籍

几本靠谱的渗透测试的书籍相关推荐

最新文章

热门文章