BHIS 年度信息安全爱好者*礼物清单

Sierra Ward 及全体员工 //

购买礼物可能很棘手，尤其是对于完全不了解你职业的家庭成员。“你不是用那些东西黑进什么吗？”别担心，BHIS 来帮忙（你可以把这份清单转发给他们参考）！我四处打听了一下，这份清单是经过信息安全爱好者认可的。希望我们的测试员不要以为我问这些是要给他们买东西……

Mr. Robot（第1季和第2季）

啊……刷剧，这不就是短暂冬日该做的事吗？如果不是短暂的冬日，那绝对是假期和休息时间！适合当你对工作中 gritty 又压抑的信息安全世界意犹未尽时！

第1季可在 Amazon Prime 上观看（第2季有 DVD/蓝光版）。或 iTunes 商店。（专业提示：在 iPhone 上你分不清 HD 和 SD，所以省点钱和空间吧。）

The Cuckoo’s Egg

读起来像小说，但并不是。来自1986年的古老世界，适合当你对工作中的信息安全意犹未尽，但更喜欢阅读时！

如果你觉得在工作中一遍又一遍地打同样的仗，回去看看那时有多不同。他们用的是拨号调制解调器。其他方面……差不多一样。

Death Wish Coffee

来自他们的网站：“Death Wish coffee 是通过使用最强豆组合和完美烘焙过程制成的。”听起来很美味！这是 Beau 的最爱，不过我们还没在办公室试过。我们也把它加进了办公室愿望清单！（暗示，暗示！）

“我不喝咖啡，但我听说它能帮你不睡觉。” –Kelsey
“Death Wish coffee？听起来很有趣。” –Brian F
“等等，什么 Kelsey？你怎么能不喝咖啡？” BB King

纸板 VR 眼镜

因为说实话 VR 还没完全到位，所以在此期间，脸上戴个盒子应该能解决问题。而且，便宜！

Blisstime Google Cardboard V2.0 3d 眼镜 Vr 虚拟现实纸板套件带头带，适合3-6英寸屏幕

书籍

书籍就像礼物的领带——有些人觉得无聊，有些人喜欢它们！你知道该怎么做的。

RTFM: Red Team Field Manual by Ben Clark

因为它是经典参考书，而且这个名字——太棒了。

Amazon 描述：
“Red Team Field Manual (RTFM) 是一本无废话但全面的参考指南，适用于经常在执行任务时没有 Google 或时间翻阅 man 页的严肃红队成员。RTFM 包含常用 Linux 和 Windows 命令行工具的基本语法，但也封装了强大工具如 Python 和 Windows PowerShell 的独特用例。RTFM 会反复节省你查找难以记住的 Windows 细节的时间，如 Windows wmic 和 dsquery 命令行工具、关键注册表值、计划任务语法、启动位置和 Windows 脚本。更重要的是，它应该教你一些新的红队技术。”

“我尽可能主动避免 Windows，这本书帮我做到了。现在我不必学 Windows，我可以直接参考它。” –某个 BHIS 测试员在某时

The Web Application Hacker’s Handbook

Amazon 上没有描述，但看看 Jason Haddix 的这篇评论（来自2011年）：

“我们的评估团队有个关于 Web Application Hackers Handbook 的 running joke。每次我们看到新技术，或必须处理一次性情况，我们开始在线研究，结果发现它已经在 WAHH 的某个地方被引用过了。我们都读过这本书好几次了，就像 Dafydd 和 Marcus 晚上溜进我们家添加内容……
开玩笑 aside，没有其他参考书像 WAHH 这样全面或完整地涵盖 web 黑客。
随着 WAHH2，作者添加了大量内容并重做了已经很深技术的现有章节。WAHH2 的 bonus 是它的相关实验室。Dafydd 和 Marcus 多年来一直在提供现场 WAHH 培训，现在已将 stellar CTF 式挑战移至云端。你可以购买积分（1小时7美元）并在阅读本书时直接进行（MDSec.net）。当我说实验室是 stellar 时，我是认真的。实验室几乎直接来自课程，从简单开始然后变得疯狂。注入实验室是我迄今为止的最爱，包含30-40种不同的注入类型/变体，每种在 XSS/SQLi 之间。课程中的 CTF（我再次提到 MDSec.com 实验室基于此）到最后变得 ridiculous。即使是经验丰富的 web 测试员也会在问题14-16左右跌倒。但我 digress……
WAHH2 现在是任何渗透测试/QA/审计团队的实际购买选择。如果你做实际测试，它的使用将超过你书架上的任何其他书。
5星，如果可能我会给10星。”

Hacking Exposed Wireless

“前六章涵盖了你进行无线评估所需的一切。真的。” –Fletch

The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition by Michal Zalewski

“哦——好书！我认为它几乎和 The Cuckoo’s Egg 一样经久不衰。” –BB King

Amazon 描述：
现代 web 应用程序建立在随时间发展然后随意拼凑在一起的技术纠缠上。web 应用程序堆栈的每一部分，从 HTTP 请求到浏览器端脚本，都带有重要但细微的安全后果。为了保持用户安全，开发人员必须自信地导航这片景观。
在 The Tangled Web 中，世界上顶级浏览器安全专家之一 Michal Zalewski 提供了一个引人入胜的叙述，解释了浏览器到底如何工作以及为什么它们根本不安全。Zalewski 没有就漏洞提供简单化的建议，而是检查了整个浏览器安全模型，揭示弱点并提供加固 web 应用程序安全的关键信息。你将学习如何：

• 执行常见但 surprisingly 复杂的任务，如 URL 解析和 HTML 清理
• 使用现代安全功能，如 Strict Transport Security、Content Security Policy 和 Cross-Origin Resource Sharing
• 利用同源策略的许多变体来安全地分隔复杂 web 应用程序并在 XSS bug 情况下保护用户凭证
• 构建 mashup 和嵌入 gadget 而不被棘手的帧导航策略刺痛
• 嵌入或托管用户提供的内容而不陷入内容嗅探的陷阱

为了快速参考，每章末尾的“安全工程备忘单”提供你最可能遇到的问题的现成解决方案。覆盖范围延伸到计划的 HTML5 功能，The Tangled Web 将帮助你创建经得起时间考验的安全 web 应用程序。
“……或者至少当它们不工作时意识到你并不孤单” BB King

Raspberry Pi 3 & Zero

花圣诞假期构建今年的一些 BHIS 项目！（Beau 的帖子 & Jordan 的帖子）
“天啊！它这么小这么可爱，我要10个” –所有人， everywhere
“我们能买一百个这些然后建个超级计算机吗？” –Lawrence（意译）

Adafruit Feather 板

如果 Raspberry Pi 太 straightforward，试试这些！有无数选项，所以选一个挑战你的黑客找到创意用途。WiFi？蓝牙？Packet radio？数据记录器？告诉我们他们构建了什么！

USB 数据隔离器（袜子填充物！）

你租了一辆车，它有一个方便的 USB 充电端口。但你真的需要那辆租车访问你手机的所有数据吗？不！用这个，这样通过那个 USB 端口的只有电源，没有数据传输！
“我们不能自带墙适配器吗？” BB King
不 BB King，不你不能！只有 USB 插座！Gaaahhhh！

RFID 屏蔽钱包

结果你并不像人们曾经认为的那样疯狂，对有人偷你的信用卡信息保持警惕。用这个钱包挡住所有烦人的 RFID 小偷！

The Badgy

如果你觉得舍得花钱，并想真正全力以赴，你可能会考虑 Badgy！谁不喜欢有个理由为物理渗透测试打印任何种类的假工卡？
“想要！” –Kelsey（或多或少）

极客 T 恤

假期也没有地方像 127.0.0.1！

Hacking Fuel

好吃，不然你怎么成为那个400磅的黑客？！
“它们基本上是空气，它们不增加任何重量， promise” –Kelsey，不吃 Cheetos
“幸好我的键盘键是黑色的，否则它们会是橙色的” –Gail，也不吃 Cheetos

披萨包

我特意为 Kelsey 选了这款，她喜欢食物，也喜欢可爱的东西。但真的，你名单上谁不会爱一个披萨包。
“哈哈哈，它这么快乐，为什么一个闪亮的披萨包要近50美元？” –Kelsey，在 hangouts 消息中

分离键盘

为了那些可怕的时刻，当你被黑需要朋友帮助时！（这可能是我们最喜欢的电视节目“黑客”场景之一。）
“人体工程学修复你的背，我的手腕不再疼了，这么多钱， blah blah 值得。” –Lawrence（意译）
“那正是 Lawrence 说话的方式。” –Sierra

跑步机桌

我们不断听说坐着和吸烟一样糟糕，这吓坏了我们，因为我们有坐着的工作。去年我们开始了办公室跑步 kick，今年我们做更多来对抗因坐着早逝。Gail 买了一个跑步机桌，Kent 在办公室为我们所有人建了站立桌（痛苦！）。也许你幸运的信息安全-er 想走路！即使超级慢走几小时也会燃烧很多卡路里！
“我从不理解为什么人们不能闭嘴关于他们的跑步机桌，我是说，天啊，这么烦人，对吧？但现在我不能闭嘴关于我的。我 soooo 爱它！” –Gail（意译）

burner 手机

有人说 burner 手机吗？
“如果你去 Walmart，你将不得不把你的订单分成几部分，但结果 Walmart 收银员不在乎。” –Rick 或 Jordan，关于 Walmart 一次只让你买一定数量的 burner 手机的事实。

其他想法

“Hak5 店的任何东西都很酷：
“我已经有一个 Pineapple 了。” –BHIS 测试员
“你总是可以有两个 Pineapples。” –另一个 BHIS 测试员

当所有其他都失败时，一些 bitcoin 总是很棒！然后你的 InfoSecker 可以匿名买自己的玩具！
“我以为 bitcoin 死了？” –Kelsey
“不是每个人都切换到了 dogecoin 吗？😉” –不是 Kelsey 的人，promise
“Dogecoin 显然不重要，因为我从没听说过它。” –Sierra（办公室温度“非常普通人”）

结论

我希望你为你生活中的信息安全爱好者找到了一些东西！！我们祝愿你们所有人最快乐最美好的假期！！______
*为什么是的，我们确实命名了这个 InfoSecker 的清单，因为它不仅仅是渗透测试员，不仅仅是防御者，而是比普通 IT 人员更具体的人。你在这里首先看到它！