這裡收錄了我在資安學習與開發過程中常用的工具、平台與資源。
快速導航
開發工具 | 網路測繪 | 威脅情報 | 滲透測試 | CTF 練習 | 雲端安全 | 資安新聞 | 技術研究 | 憑證 PKI | DNS 工具 | OSINT | 學習資源 | 惡意程式 | AI 安全 | 逆向工程 | 行動安全 | 密碼破解 | 藍隊防禦 | 網路分析
🛠️ 開發工具與平台
| 名稱 | 說明 |
|---|---|
| GitHub | 全球最大的軟體開發與版本控制平台 |
| GitLab | 開源的 DevOps 平台,支援 CI/CD |
| Docker Hub | 官方 Docker 映像檔儲存與分享平台 |
| Artifact Hub | Kubernetes 套件與 Helm Charts 搜尋平台 |
| Regex101 | 正規表達式測試與除錯工具 |
| JSON Crack | JSON 資料視覺化與編輯器 |
| Excalidraw | 手繪風格的線上白板與圖表工具 |
🔍 網路空間測繪
| 名稱 | 說明 |
|---|---|
| Shodan | 全球最知名的物聯網設備搜尋引擎 |
| Censys | 網際網路設備與服務資訊搜尋平台 |
| ZoomEye | 知道創宇開發的網路空間搜尋引擎 |
| FOFA | 白帽匯開發的網路資產測繪平台 |
| Hunter | 奇安信開發的網路空間測繪系統 |
| Netlas | 新興的網路資產搜尋引擎 |
| GreyNoise | 網際網路背景噪音與掃描行為分析 |
| masscan | 高速網路埠掃描工具 |
| naabu | 快速埠掃描工具 |
| httpx | 快速 HTTP 探測工具 |
| nuclei | 基於模板的漏洞掃描器 |
| subfinder | 被動式子網域列舉工具 |
🎯 威脅情報與漏洞資料庫
| 名稱 | 說明 |
|---|---|
| MITRE ATT&CK | 攻擊戰術與技術知識庫 |
| MITRE D3FEND | 防禦技術知識庫與對策框架 |
| CVE Details | CVE 漏洞詳細資訊查詢 |
| NVD | 美國國家漏洞資料庫 |
| Exploit-DB | 漏洞利用程式與 Google Dorks 資料庫 |
| VulnHub | 滲透測試練習用虛擬機下載 |
| VirusTotal | 多引擎惡意程式掃描與分析平台 |
| AbuseIPDB | IP 信譽查詢與惡意 IP 回報平台 |
| URLhaus | 惡意 URL 分享與查詢平台 |
| AlienVault OTX | 開放式威脅情報交換平台 |
| Malware Bazaar | 惡意程式樣本分享平台 |
| ThreatFox | IOC(入侵指標)分享平台 |
| Pulsedive | 免費威脅情報搜尋與分析 |
| Vulners | 漏洞與 Exploit 整合搜尋引擎 |
| nuclei-templates | Nuclei 官方漏洞模板庫 |
| sigma | 通用 SIEM 規則格式與規則庫 |
| yara | 惡意程式樣本規則比對工具 |
| Awesome-CVE-PoC | CVE 漏洞 PoC 收集 |
🔓 滲透測試工具與資源
| 名稱 | 說明 |
|---|---|
| Kali Tools | Kali Linux 工具官方文件 |
| HackTricks | 滲透測試技巧與方法論大全 |
| HackTricks Cloud | 雲端環境滲透測試技巧 |
| PayloadsAllTheThings | Web 應用程式滲透測試 Payload 集合 |
| GTFOBins | Unix 二進位檔案提權技巧集合 |
| LOLBAS | Windows Living Off The Land 技巧集合 |
| LOLDrivers | 可被濫用的 Windows 驅動程式清單 |
| WADComs | Windows/AD 環境攻擊指令速查 |
| Revshells | 反向 Shell 生成器 |
| CyberChef | 資料編解碼與加解密瑞士刀 |
| Weakpass | 弱密碼與密碼字典檔下載平台 |
| ExplainShell | Shell 指令解析與說明工具 |
| Pentest-Tools | 線上滲透測試工具集合 |
| SecLists | 滲透測試常用字典與清單 |
| Impacket | Python 網路協定工具集 |
| BloodHound | AD 環境攻擊路徑分析 |
| CrackMapExec | AD 環境滲透測試瑞士刀 |
| Responder | LLMNR/NBT-NS 毒化工具 |
| evil-winrm | Windows 遠端管理 Shell |
| chisel | TCP/UDP 隧道工具 |
| ligolo-ng | 進階隧道與 Pivoting 工具 |
| pwncat | 後滲透自動化框架 |
| LinPEAS | Linux 提權列舉腳本 |
| WinPEAS | Windows 提權列舉腳本 |
| linux-exploit-suggester | Linux 核心漏洞建議 |
| ffuf | 高速 Web Fuzzer |
| feroxbuster | 遞迴內容發現工具 |
| gobuster | 目錄與 DNS 暴力列舉 |
| sqlmap | 自動化 SQL 注入工具 |
| XSStrike | 進階 XSS 檢測工具 |
| Arjun | HTTP 參數發現工具 |
| ParamSpider | URL 參數探勘工具 |
| gf | Grep 包裝器與模式匹配 |
| hakrawler | 快速網頁爬蟲 |
| katana | 新一代網頁爬蟲框架 |
| waybackurls | 從 Wayback Machine 取 URL |
🎮 CTF 與資安練習平台
| 名稱 | 說明 |
|---|---|
| Hack The Box | 最受歡迎的滲透測試練習平台 |
| TryHackMe | 互動式資安學習與練習平台 |
| PentesterLab | Web 安全滲透測試練習環境 |
| PortSwigger Academy | Burp Suite 官方 Web 安全學習平台 |
| OverTheWire | Linux 與安全基礎 Wargames |
| PicoCTF | CMU 主辦的入門級 CTF 平台 |
| CTFtime | 全球 CTF 競賽行事曆與排名 |
| CryptoHack | 密碼學練習與挑戰平台 |
| DVWA | 經典的 Web 漏洞練習環境 |
| XSS Game | Google 開發的 XSS 漏洞練習遊戲 |
| OWASP WebGoat | OWASP 官方 Web 安全練習環境 |
| OWASP Juice Shop | 現代 Web 漏洞練習應用 |
| bWAPP | 含超過 100 種漏洞的練習環境 |
| VulnLab | 多種漏洞類型練習環境 |
| SSRF Sheriff | SSRF 漏洞練習環境 |
| ctf-tools | CTF 工具安裝腳本集合 |
☁️ 雲端安全與容器安全
| 名稱 | 說明 |
|---|---|
| CloudSecDocs | 雲端安全知識與最佳實踐文件 |
| Trivy | 容器與 IaC 漏洞掃描工具 |
| Falco | 雲原生執行時期安全監控 |
| Prowler | AWS/Azure/GCP 安全稽核工具 |
| ScoutSuite | 多雲環境安全稽核工具 |
| Checkov | IaC 靜態安全分析工具 |
| Kubernetes Goat | Kubernetes 安全練習環境 |
| CloudGoat | AWS 滲透測試練習環境 |
| Flaws.cloud | AWS 安全挑戰練習平台 |
| Grype | 容器映像漏洞掃描器 |
| kube-bench | Kubernetes CIS 基準檢測工具 |
| kube-hunter | Kubernetes 滲透測試工具 |
| kubescape | Kubernetes 安全平台 |
| Terrascan | IaC 安全掃描工具 |
| tfsec | Terraform 安全掃描器 |
| Pacu | AWS 滲透測試框架 |
| truffleHog | Git 機密資訊掃描工具 |
| gitleaks | Git 儲存庫機密洩漏檢測 |
| detect-secrets | 程式碼機密資訊檢測 |
| KICS | IaC 安全掃描平台 |
| CDK | 容器環境滲透測試工具 |
| Deepce | Docker 列舉與逃逸工具 |
📰 資安新聞與研究
| 名稱 | 說明 |
|---|---|
| The Hacker News | 全球知名資安新聞網站 |
| Krebs on Security | Brian Krebs 的深度資安調查報導 |
| Bleeping Computer | 資安新聞與技術支援社群 |
| Dark Reading | 企業資安新聞與分析 |
| FreeBuf | 中國領先的網路安全行業門戶 |
| 安全客 | 專業資安資訊與漏洞情報平台 |
| Seebug | 知道創宇漏洞資料庫與技術文章 |
📚 技術研究與部落格
| 名稱 | 說明 |
|---|---|
| PortSwigger Research | Burp Suite 團隊的 Web 安全研究 |
| Project Zero | Google 零日漏洞研究團隊 |
| Trail of Bits Blog | 頂尖資安公司技術部落格 |
| Micro8 | 專注於 APT 攻擊與防禦的技術文件 |
| 3gstudent | Windows 安全研究與滲透技巧分享 |
🔐 憑證與 PKI
| 名稱 | 說明 |
|---|---|
| SSL Labs | SSL/TLS 設定檢測與評分 |
| crt.sh | Certificate Transparency 憑證搜尋 |
| Let’s Encrypt | 免費 SSL 憑證自動化服務 |
| Certbot | Let’s Encrypt 官方憑證管理工具 |
| cfssl | Cloudflare PKI 工具集 |
| step-ca | 私有 CA 與憑證管理 |
| mkcert | 本機開發 HTTPS 憑證 |
🌐 DNS 與網域工具
| 名稱 | 說明 |
|---|---|
| SecurityTrails | DNS 歷史記錄與子網域查詢 |
| DNSdumpster | DNS 偵察與子網域列舉 |
| ViewDNS | DNS 與網域資訊查詢工具集 |
| MX Toolbox | Email 與 DNS 診斷工具 |
| dnsx | 快速 DNS 查詢工具 |
| shuffledns | 高速子網域暴力列舉 |
| massdns | 高效能 DNS 解析工具 |
| puredns | 精確子網域暴力破解 |
| dnsrecon | DNS 列舉與偵察工具 |
🕵️ OSINT 工具
| 名稱 | 說明 |
|---|---|
| OSINT Framework | OSINT 工具分類索引 |
| IntelTechniques | Michael Bazzell 的 OSINT 資源 |
| Wayback Machine | 網際網路檔案館的網頁時光機 |
| Have I Been Pwned | 個人資料外洩查詢 |
| Hunter.io | Email 地址搜尋與驗證 |
| Shodan CLI | Shodan 命令列工具 |
| Sherlock | 社群帳號搜尋工具 |
| theHarvester | Email、子網域與 IP 收集工具 |
| Amass | OWASP 子網域列舉工具 |
| Maltego | 視覺化情報分析與關聯工具 |
| SpiderFoot | 自動化 OSINT 偵察平台 |
| Photon | 快速網頁資訊爬取 |
| social-analyzer | 社群媒體帳號分析 |
| Recon-ng | 模組化偵察框架 |
| holehe | Email 註冊網站檢測 |
| maigret | 使用者名稱跨平台搜尋 |
| GHunt | Google 帳號資訊偵察 |
| Osintgram | Instagram OSINT 工具 |
| PhoneInfoga | 電話號碼資訊收集 |
📖 學習資源
| 名稱 | 說明 |
|---|---|
| OWASP | 開放網頁應用程式安全專案 |
| OWASP Cheat Sheet Series | OWASP 安全開發速查表 |
| 良葛格學習筆記 | Java、Python 等程式語言教學筆記 |
| Awesome Security | GitHub 上精選的資安資源清單 |
| Awesome Hacking | 駭客與滲透測試資源精選 |
| Security Zines | 資安概念視覺化圖解 |
| SANS Reading Room | SANS 資安白皮書與研究 |
| Cybrary | 免費資安線上課程平台 |
| TCM Security Academy | 實用滲透測試課程 |
| The Art of Hacking | 駭客技術學習資源集 |
| Hacking-Security-Ebooks | 資安電子書收集 |
| Awesome-Pentest | 滲透測試資源精選 |
| Awesome-Red-Teaming | 紅隊資源精選 |
🔬 惡意程式分析
| 名稱 | 說明 |
|---|---|
| Any.Run | 互動式惡意程式沙箱分析 |
| Hybrid Analysis | 免費惡意程式分析服務 |
| Joe Sandbox | 深度惡意程式行為分析 |
| Triage | 惡意程式沙箱分析平台 |
| MalwareBazaar | 惡意程式樣本資料庫 |
| UnpacMe | 自動化惡意程式解包服務 |
| YARA | 惡意程式樣本規則引擎 |
| CAPA | 可執行檔能力分析工具 |
| oletools | Office 文件惡意程式分析 |
| malwoverview | 惡意程式快速分類分析 |
| FLOSS | 混淆字串自動解碼 |
| PEframe | PE 檔案靜態分析工具 |
| Detect-It-Easy | 檔案類型與加殼檢測 |
🤖 AI 安全與 LLM
| 名稱 | 說明 |
|---|---|
| OWASP LLM Top 10 | LLM 應用程式十大風險 |
| Gandalf | AI Prompt Injection 挑戰遊戲 |
| Embrace The Red | AI 安全研究與資源 |
| LLM Security | LLM 安全研究與漏洞 |
| garak | LLM 漏洞掃描工具 |
| rebuff | Prompt Injection 防護 |
| Awesome LLM Security | LLM 安全資源清單 |
🔧 逆向工程
| 名稱 | 說明 |
|---|---|
| Ghidra | NSA 開源逆向工程框架 |
| Binary Ninja | 現代化二進位分析平台 |
| Cutter | 開源逆向工程 GUI 工具 |
| dogbolt | 線上反編譯器比較工具 |
| Compiler Explorer | 線上編譯器與組合語言檢視 |
| radare2 | 開源逆向工程框架 |
| rizin | radare2 分支改良版本 |
| x64dbg | Windows x64/x32 除錯器 |
| pwntools | CTF 與漏洞利用框架 |
| ROPgadget | ROP Gadget 搜尋工具 |
| angr | 二進位分析框架 |
| capstone | 多架構反組譯引擎 |
| unicorn | 輕量級 CPU 模擬框架 |
| keystone | 多架構組譯引擎 |
| ImHex | 現代化十六進位編輯器 |
📱 行動應用安全
| 名稱 | 說明 |
|---|---|
| MobSF | 行動應用自動化安全分析框架 |
| OWASP MASTG | 行動應用安全測試指南 |
| Frida | 動態二進位插樁工具 |
| Objection | 行動應用執行時期安全測試 |
| APKLab | VSCode Android 逆向擴充套件 |
| jadx | Android DEX/APK 反編譯器 |
| apktool | Android APK 逆向工具 |
| dex2jar | DEX 轉 JAR 工具 |
| androguard | Android 應用分析框架 |
| nuclei-templates (mobile) | 行動應用 Nuclei 模板 |
| RMS-Runtime-Mobile-Security | 行動應用執行時期分析 |
🔐 密碼學與密碼破解
| 名稱 | 說明 |
|---|---|
| hashcat | 世界最快密碼破解工具 |
| John the Ripper | 經典密碼破解工具 |
| CrackStation | 線上雜湊查詢服務 |
| hashes.com | 雜湊破解與查詢平台 |
| Name-That-Hash | 雜湊類型識別工具 |
| hash-identifier | 雜湊演算法識別 |
🛡️ 防禦與藍隊工具
| 名稱 | 說明 |
|---|---|
| Wazuh | 開源 SIEM 與 XDR 平台 |
| OSSEC | 主機入侵偵測系統 |
| Suricata | 高效能網路 IDS/IPS |
| Zeek | 網路安全監控框架 |
| TheHive | 安全事件回應平台 |
| MISP | 威脅情報分享平台 |
| OpenCTI | 開源威脅情報平台 |
| Velociraptor | 端點監控與數位鑑識 |
| HELK | 威脅獵捕平台 |
| Atomic Red Team | 攻擊模擬測試框架 |
| Caldera | MITRE 自動化攻擊模擬 |