BHIS年度信息安全极客*礼物清单

购买礼物可能很棘手，尤其是对于完全不了解你职业的家庭成员。“你不是用那些东西黑东西吗？”别担心，BHIS在这里（你可以把这个转发给他们参考）！我四处打听了一下，这个清单是经过信息安全极客认可的。希望我们的测试员不要以为我问是因为我要给他们买东西……

Mr. Robot（第1季和第2季）

啊……刷剧，这不就是短暂的冬日该做的事吗？如果不是短暂的冬日，那绝对是假期和休息时间！当你在工作中无法满足于信息安全那 gritty 又压抑的世界时！

第1季可在Amazon Prime上观看（第2季有DVD/蓝光版）。或者iTunes商店。（小贴士：在iPhone上你分不清HD和SD，所以省点钱和空间吧。）

The Cuckoo’s Egg

读起来像小说，但不是。来自1986年的古老世界，当你在工作中无法满足于信息安全，但更喜欢阅读时！

如果你觉得在工作中一遍又一遍地打同样的仗，回去看看事情有多不同。他们那时有拨号调制解调器。否则……几乎一样。

Death Wish Coffee

来自他们的网站：“Death Wish咖啡是通过使用最强组合的豆子和完美的烘焙过程制成的。”听起来很美味！这是Beau的最爱，尽管我们还没在办公室尝过。我们也把它加入了办公室愿望清单！（暗示，暗示！）

“我不喝咖啡，但我听说它帮助你不睡觉。” –Kelsey
“Death Wish咖啡？听起来很有趣。” –Brian F
“等等，什么Kelsey？你怎么能不喝咖啡？” BB King

纸板VR眼镜

因为说实话，VR还没完全到位，所以在此期间，脸上戴个盒子应该能解决问题。而且，便宜！

Blisstime Google Cardboard V2.0 3d眼镜Vr虚拟现实纸板套件带头带，适合3-6英寸屏幕

书籍

书籍就像礼物的领带——有些人觉得无聊，其他人喜欢它们！你知道该怎么进行。

RTFM: Red Team Field Manual by Ben Clark

因为这是一个经典的参考，而且这个名字——太棒了。

Amazon上的描述：
“Red Team Field Manual（RTFM）是一个没有废话但全面的参考指南，适用于经常在任务中没有Google或时间翻阅man页的严肃红队成员。RTFM包含常用Linux和Windows命令行工具的基本语法，但它也封装了强大工具如Python和Windows PowerShell的独特用例。RTFM会反复节省你查找难以记住的Windows细微差别的时间，如Windows wmic和dsquery命令行工具、关键注册表值、计划任务语法、启动位置和Windows脚本。更重要的是，它应该教你一些新的红队技术。”

“我尽可能避免使用Windows，这本书帮助我做到这一点。现在我不必学习Windows，我可以只是参考它。” –某个BHIS测试员在某时

The Web Application Hacker’s Handbook

Amazon上没有描述，但看看Jason Haddix的这篇评论（来自2011年）：

“我们评估团队有一个关于Web Application Hackers Handbook的 running joke。每次我们看到新技术，或必须处理一次性情况，我们开始在线研究，只发现它已经在WAHH某处被引用。我们都读过这本书好几次了，就像Dafydd和Marcus晚上溜进我们家添加内容……
开玩笑 aside，没有其他参考比WAHH更全面或完整地涵盖Web黑客。
随着WAHH2，作者添加了大量内容并重做了已经 deeply technical 的现有章节。WAHH2的 bonus 是它的相关实验室。Dafydd和Marcus多年来一直提供现场WAHH培训，现在已将 stellar CTF like challenges 移到云端。你可以购买积分（1小时7美元）并在阅读书时直接进行（MDSec.net）。当我说实验室是 stellar，我是认真的。实验室几乎直接来自课程，从琐碎开始然后变得疯狂。注入实验室是我最喜欢的，包含30-40种不同的注入类型/变体，每种在XSS/SQLi之间。课程中的CTF（我再次提到，MDSec.com实验室基于此）到最后变得 ridiculous。即使是 seasoned web testers 也会在问题14-16左右跌倒。但我 digress……
WAHH2现在是任何渗透测试/QA/审计团队的事实上的购买。如果你进行实际测试，它的使用将超过你书架上的任何其他书。
5星，如果我能，我会给10星。”

Hacking Exposed Wireless

“前六章涵盖了你进行无线评估所需的一切。真的。” –Fletch

The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition by Michal Zalewski

“哦——伟大的书！我认为它几乎和The Cuckoo’s Egg一样 aging well。” –BB King

Amazon上的描述：
现代Web应用程序建立在随时间发展然后随意拼凑在一起的技术 tangled 上。Web应用程序堆栈的每一部分，从HTTP请求到浏览器端脚本，都带有重要但细微的安全后果。为了保持用户安全，开发人员必须自信地导航这个 landscape。
在The Tangled Web中，Michal Zalewski，世界顶级浏览器安全专家之一，提供了一个 compelling narrative，解释浏览器到底如何工作以及为什么它们 fundamentally insecure。而不是 dispense simplistic advice on vulnerabilities，Zalewski检查了整个浏览器安全模型，揭示弱点并提供加强Web应用程序安全的关键信息。你将学习如何：

• 执行常见但 surprisingly complex 的任务，如URL解析和HTML清理
• 使用现代安全功能，如Strict Transport Security、Content Security Policy和Cross-Origin Resource Sharing
• 利用许多变体的同源策略来安全地 compartmentalize 复杂Web应用程序并在XSS漏洞情况下保护用户凭据
• 构建mashups和嵌入gadgets而不被棘手的帧导航策略刺痛
• 嵌入或托管用户提供的内容而不陷入内容嗅探的陷阱

为快速参考，每章末尾的“安全工程备忘单”提供 ready solutions to problems you’re most likely to encounter。覆盖范围延伸到计划的HTML5功能，The Tangled Web将帮助你创建安全的Web应用程序，经受住时间的考验。

“……或者至少意识到当它们不工作时，你并不孤单” BB King

Raspberry Pi 3 & Zero

花圣诞假期构建一些今年的BHIS项目！（Beau的帖子 & Jordan的帖子）

“OMG！它这么小又可爱，我要10个” –所有人， everywhere
“我们能买一百个这些并构建一个超级计算机吗？” –Lawrence（意译）

Adafruit Feather boards

如果树莓派太 straightforward，试试这些！有无数选项，所以选一个并挑战你的黑客找到创意用途。WiFi？蓝牙？分组无线电？数据记录器？告诉我们他们构建了什么！

USB数据隔离器（袜子填充物！）

你租一辆车，它有一个方便的USB充电端口。但你真的需要那辆租车访问你手机的所有数据吗？不！使用这个，这样通过那个USB端口的只有电源，没有数据传输！

“我们不能自带墙适配器吗？” BB King
不BB King，不你不能！只有USB插座！Gaaahhhh！

RFID阻挡钱包

事实证明，你并不像人们曾经认为的那样疯狂，担心有人偷你的信用卡信息。用这个钱包阻挡所有那些烦人的RFID小偷！

The Badgy

如果你感觉 spendy，并想真的 pull out all the stops，你可能会考虑一个Badgy！谁不喜欢一个理由来打印任何种类的假徽章进行物理渗透测试？

“想要！” –Kelsey（或多或少）

极客T恤

假期也没有地方像127.0.0.1！

黑客燃料

美味，否则你怎么成为那个400磅的黑客？！

“它们基本上是空气，它们不增加任何重量， promise” –Kelsey，不吃奇多
“幸好我的键盘键是黑色的，否则它们会是橙色的” –Gail，也不吃奇多

披萨包

我特别为Kelsey挑选了这个，她喜欢食物，也喜欢可爱的东西。但真的，你名单上谁不会爱一个披萨 purse。

“哈哈哈，它这么快乐，为什么一个闪亮的披萨包几乎50美元？” –Kelsey，在Hangouts消息中

分离键盘

对于那些可怕的时刻，当你被黑客攻击并需要朋友帮助时！（这可能是我们最喜欢的电视节目“黑客”场景之一。）

“人体工程学修复你的背部，我的手腕不再受伤，这么多钱， blah blah worth it。” –Lawrence（意译）
“那正是Lawrence说话的方式。” –Sierra

跑步机桌

我们一直听说坐着和吸烟一样糟糕，这吓坏了我们，因为我们有坐着的工作。去年我们开始了办公室跑步 kick，今年我们做更多来对抗 early death from sitting。Gail买了一个跑步机桌，Kent在办公室为我们所有人 built standing desks（痛苦！）。也许你幸运的信息安全-er想走路！即使是超级慢走几个小时也会燃烧很多卡路里！

“我从不理解为什么人们不能闭嘴关于他们的跑步机桌，我的意思是，天啊，这么 annoying，对吧？但现在我不能闭嘴关于我的。我 soooo hard 爱它！” –Gail（意译）

burner phone

有人说 burner phone 吗？

“如果你去沃尔玛，你将不得不把你的订单分成几部分，但事实证明沃尔玛收银员不在乎。” –Rick或Jordan，关于沃尔玛一次只让你买一定数量的 burner phone 的事实。

其他想法

“Hak5商店的任何东西都很酷：
“我已经有一个Pineapple了。” –BHIS测试员
“你总是可以有两个Pineapples。” –另一个BHIS测试员

当所有其他都失败时，一些比特币总是很棒！然后你的InfoSecker可以匿名购买自己的玩具！

“我以为比特币死了？” –Kelsey
“不是每个人都切换到dogecoin了吗？😉” –不是Kelsey的人， promise
“Dogecoin显然不重要，因为我从没听说过它。” –Sierra（办公室温度“非常普通人”）

结论

我希望你为你生活中的信息安全极客找到了一些东西！！我们祝愿你们所有人最快乐和最美好的假期！！______
*为什么是的，我们确实命名这个为InfoSecker的列表，因为它不仅仅是渗透测试员，不仅仅是防御者，而是比普通IT人员更具体的人。你在这里首先看到它！