Skip to content
View MarcelRaschke's full-sized avatar
:electron:
I may be slow to respond.
:electron:
I may be slow to respond.
29 followers · 190 following

Achievements

Achievement: YOLOAchievement: Pull Sharkx3Achievement: QuickdrawAchievement: Arctic Code Vault Contributor
BetaSend feedback

Achievements

Achievement: YOLOAchievement: Pull Sharkx3Achievement: QuickdrawAchievement: Arctic Code Vault Contributor
BetaSend feedback

Highlights

Organizations

@devcode1981 @47-studio-org @jessejay-ch
Block or Report

Block or report MarcelRaschke

Block user

Prevent this user from interacting with your repositories and sending you notifications. Learn more about blocking users.

You must be logged in to block users.

Please don't include any personal information such as legal names or email addresses. Maximum 100 characters, markdown supported. This note will be visible to only you.
Report abuse

Contact GitHub support about this user’s behavior. Learn more about reporting abuse.

Report abuse
MarcelRaschke/README.md

@the-book-of-secret-knowledge @Wie man ein Hacker wird (catb.org)

#Das Buch des geheimen Wissens & Wie man ein Hacker wird

"Wissen ist mächtig, seien Sie vorsichtig, wie Sie es verwenden!"

? Was ist es? Dieses Repositorium ist eine Sammlung verschiedener Materialien und Werkzeuge, die ich täglich bei meiner Arbeit verwende. Es enthält viele nützliche Informationen, die in einem Stück gesammelt wurden. Es ist für mich eine unschätzbare Wissensquelle, auf die ich oft zurückblicke.

? Für wen? Wirklich für alle. Hier findet jeder seinen Lieblingsgeschmack. Aber um ganz ehrlich zu sein, richtet es sich an System- und Netzwerkadministratoren, DevOps, Pentester und Sicherheitsforscher. i️ beitragend Wenn du etwas findest, das keinen Sinn ergibt, oder etwas nicht richtig erscheint, stelle bitte einen Pull-Request und füge bitte gültige und gut begründete Erklärungen zu deinen Änderungen oder Kommentaren hinzu.

Ein paar einfache Regeln für dieses Projekt: einladend und klar nicht ermüdend nützlich Die folgenden Regeln könnten besser sein: einfach beizutragen (Markdown + HTML ...) leicht zu finden (einfaches Inhaltsverzeichnis, vielleicht lohnt es sich, sie zu erweitern?) Die mit * markierte URL ist vorübergehend nicht verfügbar. Bitte löschen Sie es nicht, ohne zu bestätigen, dass es dauerhaft abgelaufen ist. Bevor Sie einen Pull Request hinzufügen, lesen Sie bitte die Richtlinien zum Beitragen. Sie sollten sich auch daran erinnern: This repository is not meant to contain everything but only good quality stuff. Alle Vorschläge/PR sind willkommen! ? Inhaltsverzeichnis Nur Hauptkapitel: CLI-Werkzeuge GUI-Werkzeuge Web-Werkzeuge Systeme/Dienstleistungen Netzwerke Container/Orchestrierung Handbücher/Howtos/Tutorials Inspirierende Listen Blogs/Podcasts/Videos Hacking/Penetrationstests Ihr tägliches Wissen und Neuigkeiten Andere Spickzettel Shell Einzeiler Muschel-Tricks Shell-Funktionen ? Das Buch des geheimen Wissens (Kapitel) CLI-Werkzeuge [Inhaltsverzeichnis] ▪️ Muscheln GNU Bash - ist eine sh-kompatible Shell, die nützliche Funktionen aus der Korn-Shell und der C-Shell enthält. Zsh - ist eine Shell, die für den interaktiven Gebrauch entwickelt wurde, obwohl sie auch eine leistungsstarke Skriptsprache ist. tclsh - ist eine sehr leistungsfähige plattformübergreifende Schale, die für eine Vielzahl von Anwendungen geeignet ist. bash-it - ist ein Framework zum Verwenden, Entwickeln und Verwalten von Shell-Skripten und benutzerdefinierten Befehlen. Oh My ZSH! - ist das beste Framework für die Verwaltung Ihrer Zsh-Konfiguration. Oh My Fish - das Fishshell-Framework. Starship - die in Rust geschriebene Cross-Shell-Eingabeaufforderung. powerlevel10k - ist eine schnelle Neuimplementierung des Powerlevel9k ZSH-Themes. ▪️ Shell-Plugins z - Verfolgt den Ordner, den Sie am häufigsten verwenden, und ermöglicht es Ihnen, zu springen, ohne den gesamten Pfad eingeben zu müssen. FZF - ist ein universeller Befehlszeilen-Fuzzy-Finder. zsh-autosuggestions - Fischähnliche Autosuggestionen für Zsh. zsh-syntax-highlighting - Fischshell-ähnliche Syntaxhervorhebung für Zsh. Awesome ZSH Plugins - Eine Liste von Frameworks, Plugins, Themes und Tutorials für ZSH. ▪️ Manager Midnight Commander - ist ein visueller Dateimanager, lizenziert unter der GNU General Public License. ranger - ist ein VIM-inspirierter Dateimanager für die Konsole. nnn - ist ein winziger, blitzschneller, funktionsreicher Dateimanager. screen - ist ein Vollbild-Fenstermanager, der ein physisches Terminal multiplext. tmux - ist ein Terminal-Multiplexer, mit dem Sie einfach zwischen mehreren Programmen in einem Terminal wechseln können. tmux-cssh - ist ein Tool zum Festlegen komfortabler und einfach zu bedienender Funktionen tmux-sessions. ▪️ Texteditoren vi - ist einer der gebräuchlichsten Texteditoren unter Unix. vim - ist ein hochgradig konfigurierbarer Texteditor. emacs - ist ein erweiterbarer, anpassbarer, freier/freier Texteditor und mehr. micro - ist ein moderner und intuitiver terminalbasierter Texteditor. Neovim - ist ein kostenloser, leistungsstarker, erweiterbarer und nutzbarer Open-Source-Code-Editor. spacemacs - eine von der Community betriebene Emacs-Distribution. spacevim - eine Community-gesteuerte VIM-Distribution. ▪️ Dateien und Verzeichnisse FD - ist eine einfache, schnelle und benutzerfreundliche Alternative. NCDU - ist ein einfach zu bedienender, schneller Analysator für die Festplattennutzung. ▪️ Netz PuTTY - ist ein SSH- und Telnet-Client, der ursprünglich von Simon Tatham entwickelt wurde. Mosh - ist ein SSH-Wrapper, der entwickelt wurde, um eine SSH-Sitzung über eine flüchtige Verbindung am Leben zu erhalten. Eternal Terminal - ermöglicht Mouse-Scrolling und tmux-Befehle innerhalb der SSH-Sitzung. nmap - ist ein kostenloses Open-Source-Dienstprogramm (Lizenz) für Netzwerkerkennung und Sicherheitsprüfung. zmap - ist ein schneller Einzelpaket-Netzwerkscanner, der für internetweite Netzwerkuntersuchungen entwickelt wurde. Rust Scan - um alle offenen Ports schneller als Nmap zu finden. masscan - ist der schnellste Internet-Port-Scanner, spuckt SYN-Pakete asynchron aus. pbscan - ist ein schnellerer und effizienterer zustandsloser SYN-Scanner und Banner-Grabber. hping - ist ein befehlszeilenorientierter TCP/IP-Paketassembler/-analysator. MTR - ist ein Tool, das die Funktionalität der Programme "Traceroute" und "Ping" in einem einzigen Tool vereint. mylg - Dienstprogramm, das die Funktionen der verschiedenen Netzwerksonden in einem Diagnosetool vereint. netcat - Dienstprogramm, das Daten über Netzwerkverbindungen liest und schreibt, wobei das TCP/IP-Protokoll verwendet wird. socat - Dienstprogramm, das Daten zwischen zwei Objekten überträgt. tcpdump - ist ein leistungsstarker Befehlszeilen-Paketanalysator. tshark - ist ein Tool, mit dem wir den Netzwerkverkehr dumpen und analysieren können (Wireshark CLI). Termshark - ist eine einfache Terminal-Benutzeroberfläche für tshark. ngrep - ist wie GNU grep auf die Netzwerkschicht angewendet. netsniff-ng - ist ein Schweizer Taschenmesser für Ihre tägliche Linux-Netzwerkinstallation, wenn Sie so wollen. sockdump - Dump des Unix-Domain-Socket-Datenverkehrs. stenographer - ist eine Paketerfassungslösung, die darauf abzielt, alle Pakete schnell auf die Festplatte zu spoolen. tcpterm - Pakete in TUI visualisieren. BMON - ist ein Überwachungs- und Debugging-Tool, um netzwerkbezogene Statistiken zu erfassen und visuell aufzubereiten. iptraf-ng - ist ein konsolenbasiertes Netzwerküberwachungsprogramm für Linux, das Informationen über den IP-Verkehr anzeigt. vnstat - ist ein Netzwerkverkehrsmonitor für Linux und BSD. iPerf3 - ist ein Werkzeug zur aktiven Messung der maximal erreichbaren Bandbreite in IP-Netzwerken. ethr - ist ein Tool zur Messung der Netzwerkleistung für TCP, UDP und HTTP. Etherate - ist ein Linux-CLI-basiertes Ethernet- und MPLS-Datenverkehrstesttool. echoip - ist ein IP-Adressen-Suchdienst. Nemesis - CLI-Tool zur Paketmanipulation; Erstellen und injizieren Sie Pakete mehrerer Protokolle. packetfu - eine Paketmanipulationsbibliothek der mittleren Ebene für Ruby. Scapy - Bibliothek zur Paketmanipulation; Schmiede, SBeenden, dekodieren und erfassen Sie Pakete einer Vielzahl von Protokollen. impacket - ist eine Sammlung von Python-Klassen für die Arbeit mit Netzwerkprotokollen. ssh-audit - ist ein Tool für SSH-Server-Auditing. aria2 - ist ein leichtgewichtiges Multiprotokoll- und Multi-Source-Befehlszeilen-Download-Dienstprogramm. iptables-tracer - Beobachten Sie den Pfad von Paketen durch die iptables-Ketten. Inception - ein hochgradig konfigurierbares Tool, mit dem Sie gegen eine beliebige Anzahl von Hosts prüfen können, was Sie möchten. mRemoteNG - ein Fork von mRemote, Multi-Tabbed PuTTy auf Steroiden! ▪️ Netzwerk (DNS) dnsdiag - ist ein DNS-Diagnose- und Leistungsmesstool. fierce - ist ein DNS-Aufklärungstool zum Auffinden von nicht zusammenhängendem IP-Raum. Subfinder - ist ein Tool zur Erkennung von Subdomains, das gültige Subdomains für Websites erkennt. sublist3r - ist ein schnelles Tool zur Aufzählung von Subdomains für Penetrationstester. amass - ist ein Tool, das Subdomain-Namen durch Scraping von Datenquellen, Crawling von Webarchiven und mehr erhält. Namebench - Bietet personalisierte DNS-Server-Empfehlungen basierend auf Ihrem Browserverlauf. massdns - ist ein leistungsstarker DNS-Stub-Resolver für Massensuchen und Aufklärung. knock - ist ein Tool zum Auflisten von Subdomains auf einer Zieldomain über eine Wortliste. dnsperf - Tools zum Testen der DNS-Leistung. dnscrypt-proxy 2 - ein flexibler DNS-Proxy mit Unterstützung für verschlüsselte DNS-Protokolle. dnsdbq - API-Client, der Zugriff auf passive DNS-Datenbanksysteme bietet. GRIMD - Schneller DNS-Proxy, der entwickelt wurde, um Internetwerbung und Malware-Server zu verdunkeln. DNSTWIST - Erkennen Sie Typosquatter, Phishing-Angriffe, Betrug und Markenidentität. ▪️ Netzwerk (HTTP) curl - ist ein Befehlszeilentool und eine Bibliothek zum Übertragen von Daten mit URLs. kurly - ist eine Alternative zum weit verbreiteten Curl-Programm, das in Golang geschrieben ist. HTTPie - ist ein benutzerfreundlicher HTTP-Client. wuzz - ist ein interaktives CLI-Tool für die HTTP-Inspektion. h2spec - ist ein Konformitätstestwerkzeug für die HTTP/2-Implementierung. h2t - ist ein einfaches Tool, das Systemadministratoren hilft, ihre Websites zu härten. htrace.sh - ist ein einfaches Schweizer Taschenmesser für die http/https-Fehlerbehebung und Profilerstellung. httpstat - ist ein Tool, das Lockenstatistiken auf eine Weise visualisiert, die schön und klar ist. httplab - ist ein interaktiver Webserver. Lynx - ist ein Textbrowser für das World Wide Web. Browsh - ist ein vollständig interaktiver, moderner textbasierter Echtzeit-Browser. HeadlessBrowsers - eine Liste von (fast) allen existierenden Headless-Webbrowsern. ab - ist ein Single-Thread-Befehlszeilentool zum Messen der Leistung von HTTP-Webservern. Siege: ist ein HTTP-Auslastungstest- und Benchmarking-Dienstprogramm. wrk - ist ein modernes HTTP-Benchmarking-Tool, das in der Lage ist, eine erhebliche Last zu erzeugen. wrk2 - ist eine Aufzeichnungsvariante von wrk mit konstantem Durchsatz und korrekter Latenz. vegeta - ist eine Aufzeichnungsvariante von WRK mit konstantem Durchsatz und korrekter Latenz. bombardier - ist ein schnelles, plattformübergreifendes HTTP-Benchmarking-Tool, das in Go geschrieben wurde. Gobench - HTTP/HTTPS-Auslastungstest- und Benchmarking-Tool. hey - HTTP-Lastgenerator, ApacheBench (ab)-Ersatz, früher bekannt als Rakyll/Boom. Boom - ist ein Skript, mit dem Sie Ihre Web-App-Bereitstellung schnell testen können. SlowHTTPTest - ist ein Tool, das einige Denial-of-Service-Angriffe auf Anwendungsebene simuliert, indem es HTTP verlängert. gobuster - ist ein kostenloses Open-Source-Tool zum Buschen von Verzeichnissen/Dateien und DNS, das in Go geschrieben wurde. ssllabs-scan - Befehlszeilen-Referenzimplementierungsclient für SSL Labs-APIs. http-observatory - Mozilla HTTP Observatory CLI-Version. Hurl - ist ein Befehlszeilentool zum Ausführen und Testen von HTTP-Anfragen mit Klartext. ▪️ SSL (Englisch) openssl - ist ein robustes, kommerzielles und voll funktionsfähiges Toolkit für die TLS- und SSL-Protokolle. gnutls-cli - Client-Programm zum Einrichten einer TLS-Verbindung zu einem anderen Computer. sslyze - schnelle und leistungsstarke SSL/TLS-Server-Scan-Bibliothek. sslscan - testet SSL/TLS-fähige Dienste, um unterstützte Verschlüsselungssammlungen zu ermitteln. testssl.sh - Testen der TLS/SSL-Verschlüsselung überall auf jedem Port. cipherscan - eine sehr einfache Möglichkeit, um herauszufinden, welche SSL-Ciphersuites von einem Ziel unterstützt werden. spiped - ist ein Dienstprogramm zum Erstellen symmetrisch verschlüsselter und authentifizierter Pipes zwischen Socket-Adressen. Certbot - ist das Tool der EFF, um Zertifikate von Let's Encrypt zu erhalten und (optional) HTTPS auf Ihrem Server automatisch zu aktivieren. mkcert - einfaches Zero-Config-Tool zum Erstellen lokal vertrauenswürdiger Entwicklungszertifikate mit beliebigen Namen. certstrap - Tools zum Bootstrappen von Zertifizierungsstellen, Zertifikatsanforderungen und signierten Zertifikaten. Sublert - ist ein Sicherheits- und Aufklärungstool zur automatischen Überwachung neuer Subdomains. mkchain - Open-Source-Tool, mit dem Sie eine gültige SSL-Zertifikatskette erstellen können. ssl-cert-check - Überprüfung des Ablaufs der SSL-Zertifizierung. ▪️ Sicherheit SELinux - bietet ein flexibles MAC-System (Mandatory Access Control), das in den Linux-Kernel integriert ist. AppArmor - schützt das Betriebssystem und die Anwendungen proaktiv vor externen oder internen Bedrohungen. grapheneX - Automatisiertes Systemhärtungs-Framework. DevSec Hardening Framework - Sicherheit + DevOps: Automatische Serverhärtung. ▪️ Auditing-Tools OSSEC - Aktive Überwachung aller Aspekte der Systemaktivität mit Dateiintegritätsüberwachung. auditd - bietet eine Möglichkeit, sicherheitsrelevante Informationen auf Ihrem System zu verfolgen. Tiger - ist ein Sicherheitstool, das sowohl als Sicherheitsaudit- als auch als Intrusion-Detection-System verwendet werden kann. Lynis - kampferprobtes Sicherheitstool für Systeme mit Linux, macOS oder Unix-basierten Betriebssystemen. LinEnum - skriptgesteuerte lokale Linux-Enumerations- und Privilegien-Eskalationsprüfungen. Rkhunter - Scanner-Tool für Linux-Systeme, das Hintertüren, Rootkits und lokale Exploits auf Ihren Systemen scannt. PE-Sieve - ist ein leichtgewichtiges Tool, das hilft, Malware zu erkennen, die auf dem System ausgeführt wird. PEASS - Tools zur Ausweitung von Berechtigungen für Windows und Linux/Unix und MacOS. ▪️ Systemdiagnose/Debugger strace - Diagnose-, Debugging- und Instruktions-Userspace-Dienstprogramm für Linux. DTrace - ist ein Tool zur Leistungsanalyse und Fehlerbehebung. ltrace - ist ein Bibliotheksaufruf-Tracer, der verwendet wird, um Aufrufe von Programmen an Bibliotheksfunktionen zu verfolgen. Ptrace-Burrito - ist ein freundlicher Wrapper um Ptrace. perf-tools - Tools zur Leistungsanalyse, die auf Linux perf_events (auch bekannt als perf) und ftrace basieren. bpftrace - High-Level-Tracing-Sprache für Linux eBPF. sysdig - Systemerkundungs- und Fehlerbehebungstool mit erstklassiger Unterstützung für Container. Valgrind - ist ein Instrumentierungs-Framework zum Erstellen dynamischer Analysewerkzeuge. gperftools - Leistungsstarke Multithread-Implementierung von malloc() sowie einige Tools zur Leistungsanalyse. glances - plattformübergreifendes Systemüberwachungstool, das in Python geschrieben wurde. htop - Interaktiver Textmodus-Prozessbetrachter für Unix-Systeme. Es zielt darauf ab, ein besseres "Top" zu sein. bashtop - Linux-Ressourcenmonitor, der in reinem Bash geschrieben ist. NMON - eine einzige ausführbare Datei für die Leistungsüberwachung und Datenanalyse. atop - ASCII-Leistungsmonitor. Enthält Statistiken für CPU, Arbeitsspeicher, Festplatte, Auslagerung, Netzwerk und Prozesse. lsof - Zeigt in seiner Ausgabe Informationen zu Dateien an, die von Prozessen geöffnet werden. FlameGraph - Stapel-Trace-Visualisierung. lsofgraph - Konvertiert die Unix-lsof-Ausgabe in ein Diagramm, das die FIFO- und UNIX-Interprozesskommunikation zeigt. RR - ist ein leichtgewichtiges Tool zum Aufzeichnen, Wiedergeben und Debuggen der Ausführung von Anwendungen. Performance Co-Pilot - ein Toolkit zur Analyse der Systemleistung. hexyl - ein Befehlszeilen-Hex-Viewer. Austin - Python-Frame-Stack-Sampler für CPython. ▪️ Log-Analysatoren angle-grinder - Schneiden und würfeln Sie Protokolldateien auf der Befehlszeile. LNAV - Protokolldatei-Navigator mit Suche und automatischer Aktualisierung. GoAccess - Echtzeit-Webprotokollanalysator und interaktiver Viewer, der in einem Terminal ausgeführt wird. ngxtop - Echtzeitmetriken für den NGINX-Server. ▪️ Datenbanken usql - universelle Befehlszeilenschnittstelle für SQL-Datenbanken. pgcli - Postgres-CLI mit Autovervollständigung und Syntaxhervorhebung. mycli - Terminal-Client für MySQL mit Autovervollständigung und Syntaxhervorhebung. litecli - SQLite-CLI mit Autovervollständigung und Syntaxhervorhebung. mssql-cli - SQL Server-CLI mit Autovervollständigung und Syntaxhervorhebung. OSQuery - ist ein SQL-gestütztes Framework für die Instrumentierung, Überwachung und Analyse von Betriebssystemen. pgsync - Synchronisieren Sie Daten von einer Postgres-Datenbank mit einer anderen. Iredis - ein Terminal-Client für Redis mit Autovervollständigung und Syntaxhervorhebung. SchemaCrawler - generiert ein E-R-Diagramm Ihrer Datenbank. ▪️ TOR Nipe - Skript, um das Tor-Netzwerk zu Ihrem Standard-Gateway zu machen. multitor - ein Tool, mit dem Sie mehrere TOR-Instanzen mit einem Lastenausgleich erstellen können. ▪️ Messenger/IRC-Clients Irssi - ist ein kostenloser Open-Source-Terminal-basierter IRC-Client. WeeChat - ist ein extrem erweiterbarer und leichtgewichtiger IRC-Client. ▪️ Produktivität TaskWarrior - Aufgabenverwaltungssystem, Aufgabenliste ▪️ Andere sysadmin-util - Werkzeuge für Linux/Unix-Systemadministratoren. incron - ist eine Inode-basierte Dateisystem-Benachrichtigungstechnologie. lsyncd - synchronisiert lokale Verzeichnisse mit entfernten Zielen (Live Syncing Daemon). GRV - ist eine terminalbasierte Schnittstelle zum Anzeigen von Git-Repositories. Tig - Textmodus-Schnittstelle für Git. TLDR - Vereinfachte und Community-gesteuerte Handbuchseiten. Archivierer - Erstellen und extrahieren Sie einfach .zip, .tar, .tar.gz, .tar.bz2, .tar.xz, .tar.lz4, .tar.sz und .rar. commander.js - minimaler CLI-Ersteller in JavaScript. gron - JSON greppbar machen! bed - binärer Editor in Go geschrieben. GUI-Werkzeuge [Inhaltsverzeichnis] ▪️ Terminal-Emulatoren Guake - ist ein Dropdown-Terminal für die GNOME-Desktop-Umgebung. Terminator - basiert auf GNOME Terminal, nützliche Funktionen für Systemadministratoren und andere Benutzer. Kitty - ist ein GPU-basierter Terminal-Emulator, der flüssiges Scrollen und Bilder unterstützt. Alacritty - ist ein schneller, plattformübergreifender OpenGL-Terminalemulator. ▪️ Netz Wireshark - ist der weltweit führende und am weitesten verbreitete Netzwerkprotokollanalysator. Ettercap - ist ein umfassendes Netzwerküberwachungstool. EtherApe - ist eine grafische Netzwerküberwachungslösung. Packet Sender - ist ein Netzwerkdienstprogramm für die Paketgenerierung und integrierte UDP/TCP/SSL-Clients und -Server. Ostinato - ist ein Paketersteller und Verkehrsgenerator. JMeter™ - Open-Source-Software zum Testen des Funktionsverhaltens und zum Messen der Leistung. locust - skalierbares Benutzerlasttest-Tool, das in Python geschrieben wurde. ▪️ Browser TOR Browser - Schützen Sie Ihre Privatsphäre und verteidigen Sie sich gegen Netzwerküberwachung und Verkehrsanalyse. ▪️ Passwort-Manager KeePassXC - Speichern Sie Ihre Passwörter sicher und geben Sie sie automatisch in Ihre täglichen Websites und Apps ein. Bitwarden - Open-Source-Passwort-Manager mit integrierter Synchronisierung. Vaultwarden - inoffizieller Bitwarden-kompatibler Server, der in Rust geschrieben ist. ▪️ Messenger/IRC-Clients HexChat - ist ein IRC-Client, der auf XChat basiert. Pidgin - ist ein einfach zu bedienender und kostenloser Chat-Client, der von Millionen verwendet wird. ▪️ Messenger (Ende-zu-Ende-Verschlüsselung) Signal - ist eine verschlüsselte Kommunikations-App. Wire - sicheres Messaging, Dateifreigabe, Sprachanrufe und Videokonferenzen. TorChat - dezentraler anonymer Instant Messenger auf der Grundlage von Tor Hidden Services. Matrix - ein offenes Netzwerk für sichere, dezentrale Echtzeitkommunikation. ▪️ Texteditoren Sublime Text - ist ein leichter, plattformübergreifender Code-Editor, der für seine Geschwindigkeit und Benutzerfreundlichkeit bekannt ist. Visual Studio Code - ein von Microsoft entwickelter Open-Source- und kostenloser Quellcode-Editor. Atom - ein hackbarer Texteditor für das 21. Jahrhundert. Web-Werkzeuge [Inhaltsverzeichnis] ▪️ Browser SSL/TLS-Funktionen Ihres Browsers - Testen Sie die SSL-Implementierung Ihres Browsers. Kann ich verwenden - bietet aktuelle Browser-Support-Tabellen zur Unterstützung von Front-End-Webtechnologien. Panopticlick 3.0 - Ist Ihr Browser sicher vor Tracking? Privacy Analyzer - Sehen Sie, welche Daten von Ihrem Browser verfügbar gemacht werden. Webbrowser-Sicherheit - es dreht sich alles um Webbrowser-Fingerabdrücke. Wie ist mein SSL? - Helfen Sie einem Webserver-Entwickler zu lernen, wozu TLS-Clients in der Praxis in der Lage sind. sslClientInfo - Client-Test (inkl. TLSv1.3-Informationen). ▪️ SSL/Sicherheit SSLLabs Server Test - führt eine gründliche Analyse der Konfiguration eines beliebigen SSL-Webservers durch. SSLLabs Server Test (DEV) - führt eine gründliche Analyse der Konfiguration eines beliebigen SSL-Webservers durch. ImmuniWeb® SSLScan - testet SSL/TLS (PCI DSS, HIPAA und NIST). SSL-Check - Scannen Sie Ihre Website auf unsichere Inhalte. SSL-Scanner - Analysieren Sie die Website-Sicherheit. CryptCheck - Testen Sie Ihre TLS-Serverkonfiguration (z.B. Chiffren). urlscan.io - Dienst zum Scannen und Analysieren von Websites. Berichts-URI: Überwachung von Sicherheitsrichtlinien wie CSP und HPKP. CSP Evaluator: Ermöglicht Entwicklern und Sicherheitsexperten zu überprüfen, ob eine Inhaltssicherheitsrichtlinie. Useless CSP - öffentliche Liste über CSP in einigen großen Playern (könnte sie etwas mehr interessieren). Warum kein HTTPS? - Top 100 Websites nach Alexa-Rang leiten unsichere Anfragen nicht automatisch um. TLS Cipher Suite Search - Suchmaschine für Cipher Suite. cipherli.st - starke Chiffren für Apache, Nginx, Lighttpd und mehr. * dhtool - öffentlicher Diffie-Hellman-Parameterdienst/-werkzeug. badssl.com - einprägsame Website zum Testen von Clients gegen fehlerhafte SSL-Konfigurationen. tlsfun.de - registriert für verschiedene Tests bezüglich des TLS/SSL-Protokolls. CAA Record Helper - Generieren Sie eine CAA-Richtlinie. Common CA Database - Repository mit Informationen über Zertifizierungsstellen und deren Stamm- und Zwischenzertifikate. CERTSTREAM - Aktualisierungsstream für Zertifikatstransparenzprotokolle in Echtzeit. crt.sh - erkennt Zertifikate durch kontinuierliche Überwachung aller öffentlich bekannten CTs. Hardenize - Stellen Sie die Sicherheitsstandards bereit. Kompatibilität der Verschlüsselungssammlung: Testen Sie die Kompatibilität der TLS-Verschlüsselungssammlung. URLVOID - Dieser Dienst hilft Ihnen, potenziell bösartige Websites zu erkennen. security.txt - ein vorgeschlagener Standard (Generator), der es Websites ermöglicht, Sicherheitsrichtlinien zu definieren. ssl-config-generator - hilft Ihnen, die Mozilla Server Side TLS-Konfigurationsrichtlinien zu befolgen. TLScan - reines Python, SSL/TLS-Protokoll und Chiffre-Scanner/Enumerator. ▪️ HTTP-Header und Web-Linters Security Headers - Analyse der HTTP-Antwort-Header (mit Bewertungssystem für die Ergebnisse). Observatory von Mozilla - eine Reihe von Tools zur Analyse Ihrer Website. WebHint - ist ein Linting-Tool, das Ihnen bei der Zugänglichkeit, Geschwindigkeit, Sicherheit und mehr Ihrer Website hilft. ▪️ DNS ViewDNS - eine Quelle für kostenlose DNS-bezogene Tools und Informationen. DNSLookup - ist ein erweitertes DNS-Lookup-Tool. DNSlytics - Online-DNS-Untersuchungstool. DNS Spy - Überwachen, validieren und verifizieren Sie Ihre DNS-Konfigurationen. Zonemaster - hilft Ihnen zu kontrollieren, wie Ihr DNS funktioniert. Leaf DNS - umfassender DNS-Tester. Subdomains online finden - Finden Sie Subdomains für den Penetrationstest zur Sicherheitsbewertung. DNSdumpster - DNS-Aufklärung und -Recherche, Suche und Suche nach DNS-Einträgen. DNS-Tabelle online - Suchen Sie nach DNS-Einträgen nach Domain, IP, CIDR, ISP. intoDNS - DNS- und Mailserver-Integritätsprüfung. DNS Bajaj - Überprüfen Sie die Delegierung Ihrer Domain. BuddyDNS Delegation LAB - Prüfen, verfolgen und visualisieren Sie die Delegierung Ihrer Domain. dnssec-debugger - DS- oder DNSKEY-Datensatz-Validator. PTRarchive.com - Diese Website ist für die sichere Aufbewahrung historischer Reverse-DNS-Einträge verantwortlich. xip.io - Platzhalter-DNS für alle. nip.io - todeinfaches Wildcard-DNS für jede IP-Adresse. dnslookup (ceipam) - einer der besten DNS-Propagation-Checker (und nicht nur). What's My DNS - Tool zur Überprüfung der DNS-Ausbreitung. DNSGrep - schnelles Durchsuchen großer DNS-Datensätze. ▪️ Post smtp-tls-checker - Überprüfen Sie eine E-Mail-Domäne auf SMTP-TLS-Unterstützung. MX Toolbox - alle Ihre MX-Eintrags-, DNS-, Blacklist- und SMTP-Diagnosen in einem integrierten Tool. Secure Email - Komplette E-Mail-Testtools für E-Mail-Techniker. blacklistalert - prüft, ob Ihre Domain auf einer Echtzeit-Spam-Blacklist steht. MultiRBL - vollständige IP-Prüfung für sendende Mailserver. DKIM SPF & Spam Assassin Validator - überprüft die E-Mail-Authentifizierung und bewertet Nachrichten mit Spam Assassin. ▪️ Encoder/Decoder und Regex-Tests URL-Kodierung/Dekodierung - Werkzeug von oben, um eine Textzeichenfolge entweder zu kodieren oder zu dekodieren. Uncoder - der Online-Übersetzer für Suchanfragen auf Protokolldaten. Regex101 - Online-Regex-Tester und -Debugger: PHP, PCRE, Python, Golang und JavaScript. RegExr - Online-Tool zum Lernen, Erstellen und Testen regulärer Ausdrücke (RegEx / RegExp). RegEx Testing - Online-Regex-Testtool. RegEx Pal - Online-Regex-Testtool + andere Tools. Das Cyber Swiss Army Knife - eine Web-App zur Verschlüsselung, Codierung, Komprimierung und Datenanalyse. ▪️ Netz-Werkzeuge Netcraft - detaillierter Bericht über die Website, der Ihnen hilft, fundierte Entscheidungen über ihre Integrität zu treffen. * RIPE NCC Atlas - eine globale, offene, verteilte Internet-Messplattform. Robtex - verwendet verschiedene Quellen, um öffentliche Informationen über IP-Nummern, Domainnamen, Hostnamen usw. zu sammeln. Security Trails - APIs für Sicherheitsunternehmen, Forscher und Teams. Online Curl - Curl-Test, Analyse von HTTP-Antwort-Headern. Online-Tools für Entwickler - HTTP-API-Tools, Tester, Encoder, Konverter, Formatierer und andere Tools. Ping.eu - Online-Ping, Traceroute, DNS-Lookup, WHOIS und andere. Network-Tools - Netzwerk-Tools für Webmaster, IT-Techniker und Geeks. BGPview - Suchen Sie nach ASN, IP, Präfix oder Ressourcennamen. Ist BGP schon sicher? - Überprüfen Sie die BGP (RPKI)-Sicherheit von ISPs und anderen großen Internet-Playern. Riseup - bietet Online-Kommunikationswerkzeuge für Menschen und Gruppen, die sich für einen befreienden sozialen Wandel einsetzen. VirusTotal - Analysieren Sie verdächtige Dateien und URLs, um Arten von Malware zu erkennen. ▪️ Privatsphäre privacyguides.org - bietet Wissen und Werkzeuge zum Schutz Ihrer Privatsphäre vor globaler Massenüberwachung. DNS-Datenschutz-Testserver - Liste der rekursiven DNS-Datenschutzserver (mit einer Richtlinie für keine Protokollierung). ▪️ Code-Parser/Spielplätze ShellCheck - findet Fehler in Ihren Shell-Skripten. Explains Hell - Erhalten Sie interaktive Hilfetexte für Shell-Befehle. jsbin - Live-Pastebin für HTML, CSS und JavaScript und mehr. CodeSandbox - Online-Code-Editor für die Entwicklung von Webanwendungen. PHP Sandbox - Testen Sie Ihren PHP-Code mit diesem Code-Tester. Repl.it - eine sofortige IDE zum Lernen, Erstellen, Zusammenarbeiten und Hosten an einem Ort. vclFiddle - ist ein Online-Tool zum Experimentieren mit der Varnish Cache VCL. Haskell Dockerfile Linter - ein intelligenterer Dockerfile-Linter, mit dem Sie Docker-Images mit Best Practices erstellen können. ▪️ Leistung GTmetrix - Analysieren Sie die Geschwindigkeit Ihrer Website und machen Sie sie schneller. Sucuri loadtimetester - testen Sie hier die Leistung einer Ihrer Websites aus der ganzen Welt. Pingdom Tools - Analysieren Sie die Geschwindigkeit Ihrer Website auf der ganzen Welt. PingMe.io - Führen Sie Website-Latenztests in mehreren geografischen Regionen durch. PageSpeed Insights - Analysieren Sie die Geschwindigkeit Ihrer Website und machen Sie sie schneller. web.dev – hilft Entwicklern wie Ihnen, die modernen Funktionen des Webs zu erlernen und auf Ihre eigenen Websites und Apps anzuwenden. Lighthouse – automatisierte Überwachung, Leistungsmetriken und Best Practices für das Web. ▪️ Massenscanner (Suchmaschinen) Censys - Plattform, die Informationssicherheitsexperten bei der Erkennung, Überwachung und Analyse von Geräten unterstützt. Shodan - die weltweit erste Suchmaschine für mit dem Internet verbundene Geräte. Shodan 2000 - Dieses Tool sucht nach zufällig generierten Daten von Shodan. GreyNoise - Massenscanner wie Shodan und Censys. ZoomEye - Suchmaschine für den Cyberspace, mit der der Benutzer bestimmte Netzwerkkomponenten finden kann. NetOgraph - Tools zum Überwachen und Verstehen der Tiefenstruktur des Webs. FOFA - ist eine Cyberspace-Suchmaschine. ONYPHE - ist eine Suchmaschine für gesammelte Open-Source- und Cyber-Bedrohungsdaten. IntelligenceX - ist eine Suchmaschine und ein Datenarchiv. BinaryEdge - Es scannt den gesamten Internetbereich und erstellt Echtzeit-Bedrohungsinformationsströme und -berichte. Spyse - Internet Assets Registry: Netzwerke, Bedrohungen, Webobjekte usw. wigle - ist ein übermittlungsbasierter Katalog von drahtlosen Netzwerken. Alle Netzwerke. Von allen gefunden. PublicWWW - finden Sie ein beliebiges alphanumerisches Snippet, eine Signatur oder ein Schlüsselwort im HTML-, JS- und CSS-Code der Webseiten. IntelTechniques - Dieses Repository enthält Hunderte von Online-Suchdienstprogrammen. Hunter - Ermöglicht es Ihnen, E-Mail-Adressen in Sekundenschnelle zu finden und sich mit den Personen zu verbinden, die für Ihr Unternehmen wichtig sind. GhostProject? - Suche nach vollständiger E-Mail-Adresse oder Benutzername. Datenschutzverletzungen - War meine E-Mail von einer Datenschutzverletzung betroffen? We Leak Info - die schnellste und größte Suchmaschine für Datenschutzverletzungen der Welt. Pulsedive: Scans von bösartigen URLs, IPs und Domänen, einschließlich Port-Scans und Webanforderungen. Buckets von Grayhatwarfar - Datenbank mit öffentlicher Suche nach Open Amazon S3 Buckets und deren Inhalten. Vigilante.pw - das verletzte Datenbankverzeichnis. builtwith - Finden Sie heraus, mit welchen Websites erstellt werden. NerdyData - Durchsuchen Sie den Quellcode des Webs nach Technologien auf Millionen von Websites. Zorexeye - Suche nach Websites, Bildern, Apps, Software und mehr. Mamonts offener FTP-Index - Wenn ein Ziel eine offene FTP-Site mit zugänglichem Inhalt hat, wird es hier aufgelistet. OSINT Framework - konzentriert sich auf das Sammeln von Informationen aus kostenlosen Tools oder Ressourcen. Maltiverse - ist ein Service, der sich an Cybersicherheitsanalysten richtet. Durchgesickerte Quelle - ist eine Zusammenarbeit von Daten, die online in Form einer Suche gefunden wurden. We Leak Info - um alltäglichen Menschen zu helfen, ihr Online-Leben zu sichern und Hackerangriffe zu vermeiden. pipl - ist der Ort, an dem Sie die Person hinter der E-Mail-Adresse, dem sozialen Benutzernamen oder der Telefonnummer finden. Missbrauch.ch - wird von einem zufälligen Schweizer betrieben, der Malware für eine gemeinnützige Organisation bekämpft. malc0de - Malware-Suchmaschine. Cybercrime Tracker - überwacht und verfolgt verschiedene Malware-Familien, die zur Begehung von Cyberkriminalität verwendet werden. shhgit - GitHub-Geheimnisse in Echtzeit finden. searchcode - hilft Ihnen, reale Beispiele für Funktionen, APIs und Bibliotheken zu finden. Insecam - das weltweit größte Verzeichnis von Online-Überwachungskameras. index-of - enthält großartige Dinge wie: Sicherheit, Hacking, Reverse Engineering, Kryptographie, Programmierung usw. Rapid7 Labs Open Data - ist eine großartige Ressource für Datensätze aus Project Sonar. Common Response Headers - die größte Datenbank mit HTTP-Antwortheadern. InQuest Labs - InQuest Labs ist ein offenes, interaktives und API-gesteuertes Datenportal für Sicherheitsforscher. ▪️ Generatoren thispersondoesnotexist - Erzeugen Sie gefälschte Gesichter mit einem Klick - endlose Möglichkeiten. KI-generierte Fotos - 100.000 KI-generierte Gesichter. fakenamegenerator - Ihre zufällig generierte Identität. Intigriti Redirector - offener Umleitungs-/SSRF-Nutzlastgenerator. ▪️ Kennwörter Bin ich gepwned? - Überprüfen Sie, ob Sie ein Konto haben, das durch eine Datenschutzverletzung kompromittiert wurde. dehashed - ist eine gehackte Datenbanksuchmaschine. Durchgesickerte Quelle - ist eine Zusammenarbeit von Daten, die online in Form einer Suche gefunden wurden. ▪️ CVE/Exploits-Datenbanken CVE Mitre - Liste der öffentlich bekannten Cybersicherheitsschwachstellen. CVE-Details - Erweiterte Datenbank für CVE-Sicherheitslücken. Exploit DB - CVE-konformes Archiv von öffentlichen Exploits und entsprechender anfälliger Software. 0day.today - Exploits Market bietet Ihnen die Möglichkeit, Zero-Day-Exploits zu kaufen/verkaufen. Sploitus - die Exploit- und Tools-Datenbank. cxsecurity - Kostenlose Datenbank für Schwachstellen. Vulncode-DB - ist eine Datenbank für Schwachstellen und den entsprechenden Quellcode, falls verfügbar. cveapi - kostenlose API für CVE-Daten. ▪️ Scanner für mobile Apps ImmuniWeb® Mobile App Scanner - Testen Sie die Sicherheit und den Datenschutz von mobilen Apps (iOS und Android). Quixxi - kostenloser Mobile App Vulnerability Scanner für Android & iOS. Ostorlab - analysiert mobile Anwendungen, um Schwachstellen und potenzielle Schwachstellen zu identifizieren. ▪️ Private Suchmaschinen Startpage - die privateste Suchmaschine der Welt. searX - eine datenschutzfreundliche, hackbare Metasuchmaschine. darksearch - die 1. echte Dark-Web-Suchmaschine. Qwant - die Suchmaschine, die Ihre Privatsphäre respektiert. DuckDuckGo - die Suchmaschine, die Sie nicht verfolgt. Swisscows - datenschutzsichere Websuche Disconnect - die Suchmaschine, die Ihre Suchanfragen anonymisiert. MetaGer - die Suchmaschine, die anonyme Proxy- und versteckte Tor-Zweige verwendet. ▪️ Sichere Webmail-Anbieter CounterMail - Online-E-Mail-Dienst, der entwickelt wurde, um maximale Sicherheit und Privatsphäre zu bieten. Mail2Tor - ist ein versteckter Tor-Dienst, der es jedem ermöglicht, E-Mails anonym zu senden und zu empfangen. Tutanota - ist der sicherste E-Mail-Dienst der Welt und erstaunlich einfach zu bedienen. Protonmail - ist der weltweit größte sichere E-Mail-Dienst, der von CERN- und MIT-Wissenschaftlern entwickelt wurde. Startmail - private & verschlüsselte E-Mail leicht gemacht. ▪️ Krypto Keybase - es ist Open Source und basiert auf Public-Key-Kryptographie. ▪️ PGP-Schlüsselserver SKS OpenPGP Schlüsselserver - Dienste für die von OpenPGP verwendeten SKS-Schlüsselserver. Systeme/Dienstleistungen [Inhaltsverzeichnis] ▪️ Betriebssysteme Slackware - die "Unix-ähnlichste" Linux-Distribution. OpenBSD - Multi-Plattform-4.4BSD-basiertes UNIX-ähnliches Betriebssystem. HardenedBSD - HardenedBSD zielt darauf ab, innovative Lösungen zur Abwehr von Exploits und Sicherheit zu implementieren. Kali Linux - Linux-Distribution, die für Penetrationstests, ethisches Hacking und Netzwerksicherheitsbewertungen verwendet wird. Parrot Security OS - Cybersicherheit GNU/Linux-Umgebung. Backbox Linux - Penetrationstest und Sicherheitsbewertung orientierte Ubuntu-basierte Linux-Distribution. BlackArch - ist eine Arch Linux-basierte Penetrationstest-Distribution für Penetrationstester. Pentoo - ist eine sicherheitsorientierte Live-CD, die auf Gentoo basiert. Security Onion - Linux-Distribution für Intrusion Detection, Unternehmenssicherheitsüberwachung und Protokollverwaltung. Tails - ist ein Live-System, das darauf abzielt, Ihre Privatsphäre und Anonymität zu wahren. vedetta - OpenBSD-Router-Boilerplate. Qubes OS - ist ein sicherheitsorientiertes Betriebssystem, das Xen-basierte Virtualisierung verwendet. ▪️ HTTP(s)-Dienste Varnish Cache - HTTP-Beschleuniger für inhaltsintensive dynamische Websites. Nginx - Open-Source-Web- und Reverse-Proxy-Server, der Apache ähnelt, aber sehr leicht ist. OpenResty - ist eine dynamische Webplattform, die auf NGINX und LuaJIT basiert. Tengine - eine Distribution von Nginx mit einigen erweiterten Funktionen. Caddy Server - ist ein Open-Source-, HTTP/2-fähiger Webserver mit HTTPS als Standard. HAProxy - der zuverlässige, leistungsstarke TCP/HTTP-Load-Balancer. ▪️ DNS-Dienste Unbound - Validieren, Rekursiv und Zwischenspeichern von DNS-Resolvern (mit TLS). Knot Resolver - Zwischenspeichern der vollständigen Resolver-Implementierung, einschließlich einer Resolver-Bibliothek und eines Daemons. PowerDNS - ist ein autoritativer Open-Source-DNS-Server, der in C++ geschrieben und unter der GPL lizenziert ist. ▪️ Weitere Dienstleistungen 3proxy - winziger kostenloser Proxy-Server. ▪️ Sicherheit/Härtung Emerald Onion - ist eine gemeinnützige Organisation nach 501 (c) (3) und ein Transit-Internetdienstanbieter (ISP). pi-hole - das Pi-hole® ist ein DNS-Sinkhole, das Ihre Geräte vor unerwünschten Inhalten schützt. Maltrail - System zur Erkennung bösartigen Datenverkehrs. security_monkey – überwacht AWS-, GCP-, OpenStack- und GitHub-Organisationen auf Assets und deren Änderungen im Laufe der Zeit. firecracker - sichere und schnelle microVMs für serverloses Computing. streisand - richtet einen neuen Server ein, auf dem WireGuard, OpenSSH, OpenVPN und mehr Ihrer Wahl ausgeführt werden. Netzwerke [Inhaltsverzeichnis] ▪️ Werkzeuge CapAnalysis - visuelles Web-Tool zur Analyse großer Mengen des erfassten Netzwerkverkehrs (PCAP-Analysator). netbox - IP-Adressmanagement- (IPAM) und DCIM-Tool (Data Center Infrastructure Management). ▪️ Labs NRE Labs - lernen Sie Automatisierung, indem Sie es tun. Jetzt, genau hier, in Ihrem Browser. ▪️ Andere LBNL's Network Research Group - Homepage der Network Research Group (NRG). Container/Orchestrierung [Inhaltsverzeichnis] ▪️ CLI-Werkzeuge gvisor - Container-Laufzeit-Sandbox. ctop - Top-ähnliche Schnittstelle für Containermetriken. ▪️ Web-Werkzeuge Moby - ein Gemeinschaftsprojekt für das Container-Ökosystem zur Zusammenstellung eines containerbasierten Systems. Traefik - Open Source Reverse Proxy/Load Balancer bietet eine einfachere Integration mit Docker und Let's Encrypt. kong - Das Cloud-native API-Gateway. Rancher - Komplette Container-Management-Plattform. Portainer - macht die Docker-Verwaltung einfach. nginx-proxy - Automatisierter nginx-Proxy für Docker-Container mit docker-gen. bunkerized-nginx - nginx-Docker-Image "standardmäßig sicher". ▪️ Sicherheit docker-bench-security: Sucht nach Dutzenden gängiger Best Practices für die Bereitstellung von Docker. trivy - Schwachstellen-Scanner für Container, geeignet für CI. Harbor - Cloud-natives Registrierungsprojekt, das Inhalte speichert, signiert und scannt. Houdini - Hunderte von anstößigen und nützlichen Docker-Images für das Eindringen in das Netzwerk. ▪️ Handbücher/Tutorials/Best Practices docker-cheat-sheet - ein kurzer Spickzettel für Docker. awesome-docker - eine kuratierte Liste von Docker-Ressourcen und -Projekten. docker_practice - Docker-Technologien lernen und verstehen, mit echter DevOps-Praxis! labs - ist eine Sammlung von Tutorials zum Erlernen der Verwendung von Docker mit verschiedenen Tools. dockerfiles - verschiedene Dockerfiles, die ich auf dem Desktop und auf Servern verwende. kubernetes-the-hard-way - Bootstrapping von Kubernetes auf die harte Tour auf der Google Cloud Platform. Keine Drehbücher. kubernetes-the-easy-way - Bootstrapping von Kubernetes auf einfache Weise auf der Google Cloud Platform. Keine Drehbücher. cheatsheet-kubernetes-A4 - Kubernetes CheatSheets in A4. k8s-security - Kubernetes-Sicherheitshinweise und Best Practices. kubernetes-production-best-practices - Checklisten mit Best Practices für produktionsreifes Kubernetes. kubernetes-production-best-practices - Kubernetes-Sicherheit - Best Practice-Leitfaden. kubernetes-failure-stories - ist eine Zusammenstellung öffentlicher Fehler-/Horrorgeschichten im Zusammenhang mit Kubernetes. Handbücher/Howtos/Tutorials [Inhaltsverzeichnis] ▪️ Shell/Befehlszeile pure-bash-bible - ist eine Sammlung von reinen Bash-Alternativen zu externen Prozessen. pure-sh-bible - ist eine Sammlung von reinen POSIX-sh-Alternativen zu externen Prozessen. bash-guide - ist eine Anleitung zum Erlernen von Bash. bash-handbook - für diejenigen, die Bash lernen möchten. Das Bash Hackers Wiki - enthält Dokumentationen jeglicher Art über GNU Bash. Shell & Utilities - beschreibt die Befehle, die Anwendungsprogrammen von POSIX-konformen Systemen angeboten werden. the-art-of-command-line - Beherrschen Sie die Befehlszeile auf einer Seite. Shell Style Guide - ein Shell-Styleguide für Open-Source-Projekte von Google. ▪️ Texteditoren Vim Cheat Sheet - großartige mehrsprachige Vim-Anleitung. ▪️ Python Awesome Python - eine kuratierte Liste großartiger Python-Frameworks, Bibliotheken, Software und Ressourcen. python-cheatsheet - umfassendes Python-Spickblatt. pythoncheatsheet.org - Grundlegende Referenz für Anfänger und fortgeschrittene Entwickler. ▪️ Sed & Awk & Sonstiges F'Awk yeah! - Erweiterte SED- und AWK-Verwendung (Parsing for Pentesters 3). ▪️ nix & Netzwerk nixCraft - Linux- und Unix-Tutorials für neue und erfahrene Systemadministratoren. TecMint - der ideale Linux-Blog für Sysadmins & Geeks. Omnisecu - kostenlose Netzwerk-, Systemadministrations- und Sicherheits-Tutorials. linux-cheat - Linux-Tutorials und Spickzettel. Minimale Beispiele. Hauptsächlich benutzerfreundliche CLI-Dienstprogramme. LinuxUpskillChallenge - Erlernen Sie die Fähigkeiten, die für den Systemadministrator erforderlich sind. Unix Toolbox - Unix/Linux/BSD-Befehle und -Aufgaben, die für IT-Arbeiten oder für fortgeschrittene Benutzer nützlich sind. Linux Kernel Teaching - ist eine Sammlung von Vorlesungen und Übungen zu Linux-Kernel-Themen. htop erklärt - Erklärung von allem, was Sie in htop/top unter Linux sehen können. Linux Guide and Hints - Tutorials zur Systemadministration in Fedora und CentOS. strace-little-book - ein kleines Buch, das Strace vorstellt. linux-tracing-workshop - Beispiele und praktische Übungen für Linux-Tracing-Tools-Workshops. http2-explained - ein detailliertes Dokument, das HTTP/2 erklärt und dokumentiert. http3-explained - ein Dokument, das die Protokolle HTTP/3 und QUIC beschreibt. HTTP/2 in Aktion - eine hervorragende Einführung in den neuen HTTP/2-Standard. Lassen Sie uns einen TCP/IP-Stack programmieren - großartiges Zeug, um Netzwerk- und Systemprogrammierung auf einer tieferen Ebene zu lernen. Nginx Admin's Handbook - wie Sie die Leistung, Sicherheit und andere wichtige Dinge von NGINX verbessern können. nginxconfig.io - NGINX-Konfigurationsgenerator auf Steroiden. openSSH-Richtlinie - soll Betriebsteams bei der Konfiguration von OpenSSH-Server und -Client helfen. SSH-Handshake erklärt - ist eine relativ kurze Beschreibung des SSH-Handshakes. ISC's Knowledgebase - Sie finden einige allgemeine Informationen zu BIND 9, ISC DHCP und Kea DHCP. PacketLife.net - ein Ort, an dem Sie Notizen aufzeichnen können, während Sie für die CCNP-Zertifizierung von Cisco lernen. ▪️ Microsoft AD-Attack-Defense - Angriff und Verteidigung von Active Directory mit modernen Post-Exploitation-Aktivitäten. ▪️ Großanlagen Der System Design Primer - Erfahren Sie, wie Sie große Systeme entwerfen. Awesome Scalability – Best Practices für den Aufbau von hoher Skalierbarkeit, Hochverfügbarkeit, hoher Stabilität und mehr. Webarchitektur 101 - die grundlegenden Architekturkonzepte. ▪️ Systemhärtung CIS Benchmarks - sichere Konfigurationseinstellungen für über 100 Technologien, verfügbar als kostenloses PDF. Security Harden CentOS 7 - Dies führt Sie durch die Schritte, die zum Härten von CentOS erforderlich sind. CentOS 7 Server Hardening Guide - großartige Anleitung zum Härten von CentOS; mit OpenSCAP. awesome-security-hardening - ist eine Sammlung von Anleitungen, Tools und anderen Ressourcen zur Sicherheitshärtung. Der praktische Linux-Härtungsleitfaden - bietet einen allgemeinen Überblick über die Härtung von GNU/Linux-Systemen. Linux Hardening Guide - wie man Linux so weit wie möglich für Sicherheit und Datenschutz härtet. ▪️ Sicherheit & Datenschutz Hacking-Artikel - LRaj Chandel's Security & Hacking Blog. AWS-Sicherheitstools – machen Sie Ihre AWS-Cloud-Umgebung sicherer. Rawsec's CyberSecurity Inventory - eine Bestandsaufnahme von Tools und Ressourcen zum Thema CyberSecurity. Die illustrierte TLS-Verbindung - jedes Byte einer TLS-Verbindung erklärt und wiedergegeben. SSL-Forschung - Best Practices für die SSL- und TLS-Bereitstellung von SSL Labs. SELinux Game - Lernen Sie SELinux durch Handeln. Löse Rätsel, zeige Skillz. Zertifikate und PKI - alles, was Sie über Zertifikate und PKI wissen sollten, aber zu viel Angst haben, danach zu fragen. Die Kunst der Subdomain-Enumeration - eine Referenz für Subdomain-Enumerationstechniken. Beenden von Google - die umfassende Anleitung zum Beenden von Google. ▪️ Web-Apps OWASP - weltweite gemeinnützige Wohltätigkeitsorganisation, die sich auf die Verbesserung der Sicherheit von Software konzentriert. OWASP ASVS 3.0.1 - OWASP Application Security Verification Standardprojekt. OWASP ASVS 3.0.1 Web App - einfache Web-App, die Entwicklern hilft, die ASVS-Anforderungen zu verstehen. OWASP ASVS 4.0 - ist eine Liste von Anforderungen oder Tests für die Anwendungssicherheit. OWASP Testing Guide v4 - enthält ein "Best Practice"-Framework für Penetrationstests. OWASP Dev Guide - Dies ist die Entwicklungsversion des OWASP Developer Guide. OWASP WSTG - ist ein umfassender Open-Source-Leitfaden zum Testen der Sicherheit von Webanwendungen. OWASP API Security Project - konzentriert sich speziell auf die zehn größten Schwachstellen in der API-Sicherheit. Mozilla Web Security - Helfen Sie Betriebsteams bei der Erstellung sicherer Webanwendungen. security-bulletins - Sicherheitsbulletins, die sich auf Netflix Open Source beziehen. API-Security-Checklist - Sicherheitsgegenmaßnahmen beim Entwerfen, Testen und Freigeben Ihrer API. CORS aktivieren: Aktivieren Sie die ursprungsübergreifende Ressourcenfreigabe. Application Security Wiki - ist eine Initiative, um alle Ressourcen zur Anwendungssicherheit an einem Ort bereitzustellen. Weird Proxies - Reverse-Proxy-bezogene Angriffe; Es ist das Ergebnis der Analyse verschiedener Proxys. Webshells - großartige Serie über bösartige Nutzlasten. Practical Web Cache Poisoning - zeigt Ihnen, wie Sie Websites mithilfe esoterischer Webfunktionen kompromittieren können. Versteckte Verzeichnisse und Dateien - als Quelle für vertrauliche Informationen über Webanwendungen. Explosive Blog - großartiger Blog über Cybersec und Pentests. Sicherheits-Cookies - Dieses Dokument befasst sich eingehend mit der Cookie-Sicherheit. APISecurityBestPractices - helfen Ihnen, Geheimnisse (API-Schlüssel, DB-Anmeldeinformationen, Zertifikate) aus dem Quellcode herauszuhalten. ▪️ Alles in einem LZone Spickzettel - alle Spickzettel. Dan's Cheat Sheets's - umfangreiche Spickzettel-Dokumentation. Rico's Cheatsheets - dies ist eine bescheidene Sammlung von Cheatsheets. DevDocs API - kombiniert mehrere API-Dokumentationen in einer schnellen, organisierten und durchsuchbaren Oberfläche. cheat.sh - der einzige Spickzettel, den Sie brauchen. gnulinux.guru - Sammlung von Spickzetteln über Bash, Vim und Netzwerke. Web Skills - visueller Überblick über nützliche Fähigkeiten, die Sie als Webentwickler erlernen können. ▪️ E-Books free-programming-books - Liste kostenloser Lernressourcen in vielen Sprachen. ▪️ Andere CTF-Serie: Anfällige Maschinen - Die folgenden Schritte können befolgt werden, um Schwachstellen und Exploits zu finden. 50M_CTF_Writeup - 50 Millionen US-Dollar CTF von Hackerone - Aufschrift. CTF-Aufgaben - ein Archiv von CTF-Herausforderungen auf niedriger Ebene, das im Laufe der Jahre entwickelt wurde. Wie starte ich die RE/Malware-Analyse? - Sammlung einiger Hinweise und nützlicher Links für Anfänger. Das C10K-Problem - es ist an der Zeit, dass Webserver zehntausend Clients gleichzeitig verarbeiten, finden Sie nicht? Wie aus 1500 Bytes die MTU des Internets wurde - tolle Geschichte über die Maximum Transmission Unit. Der Profiler des armen Mannes - wie der von dtrace - bietet nicht wirklich Methoden, um zu sehen, welche Programme blockieren. HTTPS auf Stack Overflow - dies ist die Geschichte einer langen Reise in Bezug auf die Implementierung von SSL. Julia's Drawings - einige Zeichnungen über Programmierung und Unix-Welt, Zines über Systeme und Debugging-Tools. Hash-Kollisionen - Dieses großartige Repository konzentriert sich auf die Ausnutzung von Hash-Kollisionen. sha256-animation - Animation der SHA-256-Hash-Funktion in Ihrem Terminal. SHA256-Algorithmus - Der SHA256-Algorithmus wird online Schritt für Schritt visuell erklärt. BGP trifft Katze - nach 3072 Stunden BGP-Manipulation ist es Job Snijders gelungen, einen Nyancat zu zeichnen. bgp-battleships - Schlachtschiffe über BGP spielen. Was passiert, wenn... - Sie google.com in Ihren Browser eingeben und die Eingabetaste drücken? how-web-works - basierend auf dem 'Was passiert, wenn...' Aufbewahrungsort. HTTPS in der realen Welt - großartiges Tutorial erklärt, wie HTTPS in der realen Welt funktioniert. Gitlab und NFS-Bug - wie wir zwei Wochen damit verbracht haben, einen NFS-Bug im Linux-Kernel zu jagen. Gitlab schmilzt zusammen - Postmortem zum Datenbankausfall vom 31. Januar 2017 mit den Lektionen, die wir gelernt haben. Wie man ein Hacker wird - wenn Sie ein Hacker werden wollen, lesen Sie weiter. Betriebskosten in der CPU - sollte helfen, die Kosten für bestimmte Operationen in CPU-Taktraten abzuschätzen. Lassen Sie uns eine einfache Datenbank erstellen - einen SQLite-Klon von Grund auf in C schreiben. simple-computer - großartige Ressource, um zu verstehen, wie Computer unter der Haube funktionieren. Die Geschichte von "Have I been pwned?" – Arbeiten mit 154 Millionen Datensätzen in Azure Table Storage. TOP500 Supercomputer - zeigt die 500 leistungsstärksten kommerziell erhältlichen Computersysteme. Wie man einen 8-GPU-Passwort-Cracker erstellt - stundenlange Frustration wie bei Desktop-Komponenten. CERN-Rechenzentrum - 3D-Visualisierungen der CERN-Computerumgebungen (und mehr). Wie gefickt ist meine Datenbank - bewerten Sie mit dieser praktischen Website, wie abgefuckt Ihre Datenbank ist. Linux-Fehlerbehebung 10Ausgabe 1 , 2016 - alles ist ein DNS-Problem... Fünf Warum - Sie wissen, was das Problem ist, aber Sie können es nicht lösen? Maersk, me & notPetya - wie hat Ransomware erfolgreich Hunderte von Domain-Controllern gekapert? howhttps.works - wie HTTPS funktioniert ... in einem Comic! howdns.works - eine lustige und farbenfrohe Erklärung, wie DNS funktioniert. POSTGRESQLCO. NF - Ihre postgresql.conf-Dokumentation und Empfehlungen. Inspirierende Listen [Inhaltsverzeichnis] ▪️ SysOps/DevOps Awesome Sysadmin - erstaunlich tolle Open-Source-Sysadmin-Ressourcen. Awesome Shell - fantastische Befehlszeilen-Frameworks, Toolkits, Anleitungen und Gizmos. Befehlszeilen-Textverarbeitung - Suchen von Text zum Suchen und Ersetzen, Sortieren zur Verschönerung und mehr. Awesome Pcaptools - Sammlung von Tools, die von anderen Forschern entwickelt wurden, um Netzwerkspuren zu verarbeiten. awesome-ebpf - eine kuratierte Liste großartiger Projekte im Zusammenhang mit eBPF. Linux-Netzwerkleistung - wobei einige der Netzwerk-sysctl-Variablen in den Linux/Kernel-Netzwerkfluss passen. Awesome Postgres - Liste großartiger PostgreSQL-Software, Bibliotheken, Tools und Ressourcen. quick-SQL-cheatsheet - eine kurze Erinnerung an alle SQL-Abfragen und Beispiele für deren Verwendung. Awesome-Selfhosted - Liste von Freie-Software-Netzwerkdiensten und Webanwendungen, die lokal gehostet werden können. Liste der Anwendungen - riesige Liste von Apps, die nach Kategorien sortiert sind, als Referenz für diejenigen, die nach Paketen suchen. CS-Interview-Knowledge-Map - Erstellen Sie die beste Interview-Map. DevOps-Guide - DevOps-Leitfaden von Basic bis Advanced mit Interviewfragen und Notizen. FreeBSD Journal - Es ist eine großartige Liste von periodischen Zeitschriften über FreeBSD und andere wichtige Dinge. devops-interview-questions - enthält Interviewfragen zu verschiedenen DevOps- und SRE-bezogenen Themen. ▪️ Entwickler Web Developer Roadmap - Roadmaps, Artikel und Ressourcen, die Ihnen helfen, Ihren Weg zu wählen, zu lernen und sich zu verbessern. Front-End-Checkliste - die perfekte Front-End-Checkliste für moderne Websites und akribische Entwickler. Front-End-Performance-Checkliste - Front-End-Performance-Checkliste, die schneller läuft als die anderen. Pythons magische Methoden - was sind magische Methoden? Sie sind alles in objektorientiertem Python. wtfpython - eine Sammlung überraschender Python-Schnipsel und weniger bekannter Funktionen. js-dev-reads - eine Liste von Büchern und Artikeln, die der anspruchsvolle Webentwickler lesen kann. Leitfaden für Commit-Nachrichten - ein Leitfaden zum Verständnis der Bedeutung von Commit-Nachrichten. ▪️ Sicherheit/Pentesting Awesome Web Security - eine kuratierte Liste von Web Security-Materialien und -Ressourcen. awesome-cyber-skills - eine kuratierte Liste von Hacking-Umgebungen, in denen Sie Ihre Cyber-Fähigkeiten trainieren können. awesome-devsecops - eine maßgebliche Liste großartiger devsecops-Tools. awesome-osint - ist eine kuratierte Liste von erstaunlich großartigen OSINTs. HolyTips - Tipps und Tutorials zu Bug Bounty Hunting und Web App Security. awesome-threat-intelligence - eine kuratierte Liste von Awesome Threat Intelligence-Ressourcen. Red-Teaming-Toolkit - eine Sammlung von Open-Source- und kommerziellen Tools, die den Betrieb von Red Teams unterstützen. awesome-burp-extensions - eine kuratierte Liste von erstaunlich tollen Burp Extensions. Kostenlose Sicherheits-eBooks - Liste von kostenlosen Sicherheits- und Hacking-eBooks. Hacking-Security-Ebooks - Top 100 Hacking & Security E-Books. Datenschutz respektierend - kuratierte Liste von Diensten und Software, die den Datenschutz respektieren. Reverse-Engineering - Liste großartiger Reverse-Engineering-Ressourcen. linux-re-101 - eine Sammlung von Ressourcen für Linux-Reverse Engineering. reverseengineering-reading-list - eine Liste von Reverse Engineering Artikeln, Büchern und Papieren. Awesome-WAF - eine kuratierte Liste großartiger Web-App-Firewalls (WAF). awesome-shodan-queries - interessante, lustige und deprimierende Suchanfragen, die in shodan.io eingefügt werden können. RobotsDisallowed - eine kuratierte Liste der häufigsten und interessantesten robots.txt unzulässigen Verzeichnisse. HackingNeuralNetworks - ist ein kleiner Kurs zur Ausnutzung und Verteidigung neuronaler Netze. Wildcard-Zertifikate - Warum Sie wahrscheinlich kein Wildcard-Zertifikat verwenden sollten. Verwenden Sie keine VPN-Dienste - was jeder "VPN-Anbieter" von Drittanbietern tut. awesome-yara - eine kuratierte Liste großartiger YARA-Regeln, -Tools und -Personen. macOS-Security-and-Privacy-Guide - Anleitung zum Schutz und zur Verbesserung der Privatsphäre unter macOS. macos_security - macOS-Projekt zur Einhaltung der Sicherheitsvorschriften. awesome-sec-talks - ist eine gesammelte Liste großartiger Sicherheitsgespräche. Filme für Hacker - Liste von Filmen, die jeder Hacker und Cyberpunk sehen muss. Cryptography_1 - Materialien, die während der Teilnahme am Stanford Crypto-Kurs von Prof. Dan Boneh verwendet wurden. Crypton - Bibliothek zum Erlernen und Üben von offensiver und defensiver Kryptographie. ▪️ Andere Cheatography - über 3.000 kostenlose Spickzettel, Wiederholungshilfen und Kurzreferenzen. awesome-static-analysis - statische Analysewerkzeuge für alle Programmiersprachen. Informatik - Weg zu einer kostenlosen autodidaktischen Ausbildung in Informatik. Post-Mortems: ist eine Sammlung von Post-Mortems (Konfigurationsfehler, Hardwarefehler und mehr). Build-Your-Own-X - Bauen Sie Ihr eigenes (Technologie hier einfügen). Project-Based-Tutorials-in-C - ist eine kuratierte Liste von projektbasierten Tutorials in C. The-Documentation-Compendium - verschiedene README-Vorlagen und Tipps zum Schreiben hochwertiger Dokumentation. awesome-python-applications - freie Software, die großartig funktioniert und zufällig auch Open-Source-Python ist. awesome-public-datasets - eine themenzentrierte Liste offener HQ-Datensätze. machine-learning-algorithms - eine kuratierte Liste aller Algorithmen und Konzepte des maschinellen Lernens. Blogs/Podcasts/Videos [Inhaltsverzeichnis] ▪️ SysOps/DevOps Varnish für PHP-Entwickler - sehr interessante Präsentation von Varnish von Mattias Geniar. Ein Netflix-Leitfaden für Microservices - spricht über die chaotische und lebendige Welt der Microservices bei Netflix. ▪️ Entwickler Vergleich von C mit Maschinensprache - Vergleichen Sie eine einfache C-App mit dem kompilierten Maschinencode dieses Programms. ▪️ Geekige Personen Brendan Greggs Blog - ist ein Branchenexperte für Rechenleistung und Cloud Computing. Gynvael "GynDream" Coldwind - ist IT-Sicherheitsingenieur bei Google. Michał "lcamtuf" Zalewski - White-Hat-Hacker, Computersicherheitsexperte. Mattias Geniar - Entwickler, Systemadministrator, Blogger, Podcaster und Redner. Nick Craver - Softwareentwickler und Systemadministrator für Stack Exchange. Scott Helme - Sicherheitsforscher, Redner und Gründer von securityheaders.com and report-uri.com. Brian Krebs - Die Washington Post und jetzt ein unabhängiger investigativer Journalist. Bruce Schneier - ist ein international renommierter Sicherheitstechnologe, der als "Sicherheitsguru" bezeichnet wird. Chrissy Morgan - Verfechterin des praktischen Lernens, Chrissy nimmt auch an Bug-Bounty-Programmen teil. Andy Gill - ist im Herzen ein Hacker, der als leitender Penetrationstester arbeitet. Daniel Miessler - Cybersicherheitsexperte und Autor. Samy Kamkar - ist ein amerikanischer Datenschutz- und Sicherheitsforscher, Computerhacker. Javvad Malik - ist ein Sicherheitsanwalt bei AlienVault, ein Blogger, Event-Redner und Branchenkommentator. Graham Cluley - öffentlicher Redner und unabhängiger Computersicherheitsanalyst. Kacper Szurek - Detektionsingenieur bei ESET. Troy Hunt - Web-Sicherheitsexperte, bekannt für öffentliche Aufklärung und Öffentlichkeitsarbeit zu Sicherheitsthemen. raymii.org - Systemadministrator, der sich auf den Aufbau von Cloud-Umgebungen mit hoher Verfügbarkeit spezialisiert hat. Robert Penz - IT-Sicherheitsexperte. ▪️ Geekige Blogs Linux Audit - der Linux-Sicherheitsblog über Auditing, Härtung und Compliance von Michael Boelen. Linux Security Expert - Schulungen, Anleitungen, Checklisten, Sicherheitstools und mehr. The Grymoire - Sammlung nützlicher Beschwörungsformeln für Zauberer, seien es Computerzauberer, Magier oder was auch immer. Secjuice - ist die einzige gemeinnützige, unabhängige und von Freiwilligen geführte Publikation im Bereich der Informationssicherheit. Decipher - Sicherheitsnachrichten, die informieren und inspirieren. ▪️ Geeky Vendor Blogs Tenable Podcast - Gespräche und Interviews im Zusammenhang mit Cyber Exposure und mehr. Sophos - Threat News Room, der Ihnen Neuigkeiten, Meinungen, Ratschläge und Forschungsergebnisse zu Computersicherheitsproblemen bietet. Tripwire State of Security - Blog mit den neuesten Nachrichten, Trends und Erkenntnissen zu aktuellen Sicherheitsthemen. Malwarebytes Labs Blog - Sicherheitsblog zielt darauf ab, Insider-Nachrichten über Cybersicherheit bereitzustellen. TrustedSec - neueste Nachrichten und Trends zur Cybersicherheit. PortSwigger Web Security Blog - über Sicherheitslücken in Web-Apps und Top-Tipps von unserem Team für Web-Sicherheit. AT&T Cybersecurity-Blog - Neuigkeiten zu neuen Bedrohungen und praktische Ratschläge zur Vereinfachung der Bedrohungserkennung. Thycotic - hier informieren sich CISOs und IT-Administratoren über Branchentrends, IT-Sicherheit und mehr. ▪️ Geeky Cybersecurity-Podcasts Risky Business - ist ein wöchentlicher Podcast zur Informationssicherheit mit Nachrichten und ausführlichen Interviews. Cyber, von Motherboard - Geschichten, und konzentrieren Sie sich auf die Ideen zur Cybersicherheit. Tenable Podcast - Gespräche und Interviews im Zusammenhang mit Cyber Exposure und mehr. Cybercrime Investigations - Podcast von Geoff White über Cyberkriminalität. Der Club der vielen Hüte - mit Geschichten von einer Vielzahl von Infosec-Leuten (Whitehat, Greyhat und Blackhat). Darknet Diaries - wahre Geschichten von der dunklen Seite des Internets. OSINTCurious Webcasts - ist die investigative Neugier, die Menschen hilft, in OSINT erfolgreich zu sein. Security Weekly - die neuesten Nachrichten zu Informationssicherheit und Hacking. ▪️ Geeky Cybersecurity-Videoblogs Rev3RSE-Sicherheit - offensiv, binäre Ausnutzung, Web-App-Sicherheit, Härtung, rotes Team, blaues Team. LiveOverflow - viel fortgeschrittenere Themen als das, was normalerweise in kostenpflichtigen Online-Kursen angeboten wird - aber kostenlos. J4vv4D - die wichtigen Informationen zu unserer Internetsicherheit. CyberTalks - Vorträge, Interviews und Artikel über Cybersicherheit. ▪️ Beste persönliche Twitter-Konten @blackroomsec - ein White-Hat-Hacker/Pentester. Intergalaktischer Minensucher-Champion 1990. @MarcoCiappelli - Mitbegründer @ITSPmagazine, an der Schnittstelle von IT-Sicherheit und Gesellschaft. @binitamshah - Linux-Evangelist. Malware. Kernel Dev. Sicherheits-Enthusiast. @joe_carson - ein InfoSec-Profi und Technikfreak. @mikko - CRO bei F-Secure, Reverse Engineer, TED-Speaker, Superschurke. @esrtweet - oft als ESR bezeichnet, ist ein amerikanischer Softwareentwickler und Open-Source-Software-Befürworter. @gynvael - Sicherheitsforscher/Programmierer, @DragonSectorCTF Gründer/Spieler, technischer Streamer. @x0rz - Sicherheitsforscher und Cyber-Beobachter. @hasherezade - Programmierer, Malware-Analyst. Autor von PEbear, PEsieve, libPeConv. @TinkerSec - Tüftler, Cypherpunk, Hacker. @alisaesage - unabhängiger Hacker und Forscher. @SwiftOnSecurity - Systemsicherheit, Arbeitsschutz, Systemadministrator, Autor von decentsecurity.com. @dakami - ist eine von nur sieben Personen mit der Befugnis, die DNS-Stammschlüssel wiederherzustellen. @samykamkar - ist ein berühmter "Grey-Hat"-Hacker, Sicherheitsforscher und Schöpfer des MySpace-Wurms "Samy". @securityweekly - Gründer und CTO des Podcast-Netzwerks Security Weekly. @jack_daniel - @SecurityBSides Mitbegründer. @thegrugq - Sicherheitsforscher. @matthew_d_green - ein Kryptograph und Professor an der Johns Hopkins University. ▪️ Beste kommerzielle Twitter-Konten @haveibeenpwned - Überprüfen Sie, ob Sie ein Konto haben, das durch eine Datenschutzverletzung kompromittiert wurde. @bugcrowd - mehr Fortune-500-Unternehmen vertrauen darauf als jede andere Crowdsourcing-Sicherheitsplattform. @Malwarebytes - vertrauenswürdigstes Sicherheitsunternehmen. Unübertroffene Bedrohungstransparenz. @sansforensics - der weltweit führende Anbieter von digitaler Forensik und Incident Response. @attcyber - Die Edge-to-Edge-Technologien von AT&T Cybersecurity bieten Bedrohungsinformationen und mehr. @TheManyHatsClub - ein auf Informationssicherheit ausgerichteter Podcast und eine Gruppe von Personen aus allen Gesellschaftsschichten. @hedgehogsec - Hedgehog Cyber. Gibraltar und Manchesters führende Boutique-Informationssicherheitsfirma. @NCSC - das Nationale Zentrum für Cybersicherheit. Wir tragen dazu bei, Großbritannien zum sichersten Ort zum Leben und Arbeiten im Internet zu machen. @Synacktiv - IT-Sicherheitsexperten. ▪️ Ein Stück Geschichte Wie man Dinge bei ARL macht - wie man Modems konfiguriert, Images scannt, CD-ROMs bespielt und anderes. ▪️ Andere Diffie-Hellman-Schlüsselaustausch (Kurzversion) - so funktionierte der Diffie-Hellman-Schlüsselaustausch. Hacking/Penetrationstests [Inhaltsverzeichnis] ▪️ Pentester arsenal Tools Sandcat Browser - ein penetrationsorientierter Browser mit vielen bereits integrierten erweiterten Funktionen. Metasploit - Tool und Framework für Pentesting-System, Web und vieles mehr. Burp Suite - Tool zum Testen der Sicherheit von Webanwendungen, zum Abfangen von Proxys zum Abspielen, Injizieren, Scannen und Fuzzen. OWASP Zed Attack Proxy - Abfangen des Proxys zum Abspielen, Injizieren, Scannen und Fuzzen von HTTP-Anfragen. w3af - ist ein Angriffs- und Audit-Framework für Webanwendungen. mitmproxy - ein interaktiver TLS-fähiger HTTP-Proxy zum Abfangen von HTTP für Penetrationstester. Nikto2 - Webserver-Scanner, der umfassende Tests gegen Webserver für mehrere Elemente durchführt. sqlmap - Tool, das den Prozess der Erkennung und Ausnutzung von SQL-Injection-Fehlern automatisiert. Recon-ng - ist ein voll funktionsfähiges Web Reconnaissance-Framework, das in Python geschrieben ist. AutoRecon - ist ein Netzwerkaufklärungstool, das eine automatisierte Aufzählung von Diensten durchführt. Faraday - eine integrierte Multiuser-Pentest-Umgebung. Photon - unglaublich schneller Crawler, der für OSINT entwickelt wurde. XSStrike - die fortschrittlichste XSS-Erkennungssuite. Sn1per - automatisiertes Pentest-Framework für offensive Sicherheitsexperten. vuls - ist ein agentenloser Schwachstellenscanner für Linux, FreeBSD und andere. Tsunami - ist ein Allzweck-Netzwerksicherheitsscanner mit einem erweiterbaren Plugin-System. aquatone - ein Werkzeug für Domänenüberflüge. BillCipher - Tool zum Sammeln von Informationen für eine Website oder IP-Adresse. WhatWaf - Erkennen und Umgehen von Web Application Firewalls und Schutzsystemen. Corsy - CORS-Scanner für Fehlkonfigurationen. Raccoon - ist ein leistungsstarkes offensives Sicherheitstool für Aufklärung und Schwachstellen-Scan. dirhunt - Findet Webverzeichnisse ohne Bruteforce. John The Ripper - ist ein schneller Passwort-Cracker, der derzeit für viele Varianten von Unix, Windows und anderen verfügbar ist. Hashcat - Das schnellste und fortschrittlichste Dienstprogramm zur Wiederherstellung von Passwörtern der Welt. p0f - ist ein Tool, um die Akteure hinter jeder zufälligen TCP/IP-Kommunikation zu identifizieren. ssh_scan - ein Prototyp einer SSH-Konfiguration und eines Richtlinienscanners. LeakLooker - finde offene Datenbanken - unterstützt von Binaryedge.io exploitdb - durchsuchbares Archiv aus der Exploit-Datenbank. getsploit - ist ein Befehlszeilenprogramm zum Suchen und Herunterladen von Exploits. ctf-tools - Einige Setup-Skripte für Sicherheitsforschungswerkzeuge. pwntools - CTF-Framework und Exploit-Entwicklungsbibliothek. security-tools - sammelnvon kleinen Sicherheitstools, die hauptsächlich in Python erstellt wurden. CTFs, Pentests und so weiter. pentestpackage - ist ein Paket von Pentest-Skripten. python-pentest-tools - Python-Tools für Penetrationstester. fuzzdb - Wörterbuch der Angriffsmuster und Primitive für die Fehlerinjektion von Black-Box-Anwendungen. AFL - ist ein kostenloser Software-Fuzzer, der von Google gepflegt wird. AFL++ - ist AFL mit Community-Patches. syzkaller - ist ein unüberwachter, coverage-geführter Kernel-Fuzzer. pwndbg - Exploit-Entwicklung und Reverse Engineering mit GDB leicht gemacht. GDB PEDA - Python Exploit Entwicklungshilfe für GDB. IDA - Multiprozessor-Disassembler und Debugger, der für das Reverse Engineering von Malware nützlich ist. radare2 - Framework für Reverse-Engineering und Analyse von Binärdateien. routersploit - Exploit-Framework für eingebettete Geräte. Ghidra - ist ein Software-Reverse-Engineering-Framework (SRE). Cutter - ist eine SRE-Plattform, die den Decompiler von Ghidra integriert. Vulnreport - Open-Source-Plattform für Pentesting-Management und -Automatisierung von Salesforce Product Security. Mentalist - ist ein grafisches Werkzeug zur Generierung von benutzerdefinierten Wortlisten. Archerysec - Vulnerability Assessment and Management hilft bei der Durchführung von Scans und der Verwaltung von Schwachstellen. Osmedeus - vollautomatisches offensives Sicherheitstool für Aufklärung und Schwachstellen-Scan. beef - Das Browser-Exploitation-Framework-Projekt. AutoSploit - automatisierter Massenausbeuter. SUDO_KILLER - ist ein Tool zur Identifizierung und Ausnutzung von Fehlkonfigurationen und Schwachstellen von sudo-Regeln. Yara - das zum Muster passende Schweizer Messer. mimikatz - ein kleines Tool, um mit der Windows-Sicherheit zu spielen. Sherlock - Suchen Sie Social-Media-Konten nach Benutzernamen in sozialen Netzwerken. OWASP Threat Dragon - ist ein Tool zur Erstellung von Bedrohungsmodelldiagrammen und zur Aufzeichnung möglicher Bedrohungen. ▪️ Pentest-Lesezeichen-Sammlung PTES - der Ausführungsstandard für Penetrationstests. Pentests MindMap - erstaunliche Mindmap mit anfälligen Apps und Systemen. WebApps Security Tests MindMap - unglaubliche Mindmap für WebApps-Sicherheitstests. Brute XSS - beherrschen Sie die Kunst des Cross Site Scripting. XSS-Spickzettel - enthält viele Vektoren, die Ihnen helfen können, WAFs und Filter zu umgehen. Offensive Security Bookmarks - Sammlung von Sicherheitslesezeichen, alles Dinge, die der Autor zum Bestehen von OSCP benötigt. Awesome Pentest Cheat Sheets - Sammlung von Spickzetteln, die für Pentests nützlich sind. Awesome Hacking von HackWithGithub - tolle Listen für Hacker, Pentester und Sicherheitsforscher. Awesome Hacking von carpedm20 - eine kuratierte Liste großartiger Hacking-Tutorials, Tools und Ressourcen. Awesome Hacking Resources - Sammlung von Hacking-/Penetrationstest-Ressourcen, um Sie besser zu machen. Awesome Pentest - Sammlung großartiger Penetrationstest-Ressourcen, Tools und anderer glänzender Dinge. Awesome-Hacking-Tools - ist eine kuratierte Liste großartiger Hacking-Tools. Hacking Cheat Sheet - Autor von Hacking- und Pentesting-Notizen. blackhat-arsenal-tools - offizielles Black Hat Arsenal Security Tools Repository. Penetrationstests und WebApp-Spickzettel - die vollständige Liste der Infosec-bezogenen Spickzettel. Cyber Security Resources - enthält Tausende von Referenzen und Ressourcen zur Cybersicherheit. Pentest-Lesezeichen - es gibt eine Menge Pentest-Blogs. Cheatsheet-God - Referenzbank für Penetrationstests - OSCP/PTP & PTX Spickzettel. ThreatHunter-Playbook - zur Unterstützung der Entwicklung von Techniken und Hypothesen für Jagdkampagnen. Beginner-Network-Pentesting - Hinweise für den Anfänger-Netzwerk-Pentesting-Kurs. OSCPRepo - ist eine Liste von Ressourcen, die der Autor in Vorbereitung auf das OSCP gesammelt hat. PayloadsAllTheThings - eine Liste nützlicher Payloads und Umgehungen für Web Application Security und Pentest/CTF. payloads - git alle Payloads! Eine Sammlung von Webangriffsnutzlasten. command-injection-payload-list - Liste der Befehlsinjektionsnutzlasten. Awesome Shodan Search Queries - großartige Suchanfragen, die Sie in Shodan einbinden können. AwesomeXSS - ist eine Sammlung von Awesome XSS-Ressourcen. php-webshells - gängige PHP-Webshells. Spickzettel für Pentesting-Tools - eine schnelle Referenzübersicht für typische Penetrationstests. OWASP Cheat Sheet Series - ist eine Sammlung hochwertiger Informationen zu bestimmten Themen der Anwendungssicherheit. OWASP-Abhängigkeitsprüfung - ist eine offeneurce solution den OWASP Top 10 2013 Eintrag. OWASP ProActive Controls - OWASP Top 10 der proaktiven Kontrollen 2018. PENTESTING-BIBEL - Hacking & Penetrationstests & Red Team & Cyber Security Ressourcen. Pentest-Wiki - ist eine kostenlose Online-Sicherheits-Wissensbibliothek für Pentester/Forscher. DEF CON Media Server - tolles Zeug von DEFCON. Awesome Malware Analysis - eine kuratierte Liste großartiger Tools und Ressourcen zur Malware-Analyse. SQL Injection Cheat Sheet - detailliertes technisches Zeug über die vielen verschiedenen Varianten der SQL Injection. Entersoft Knowledge Base - großartige und detaillierte Referenz zu Schwachstellen. HTML5 Security Cheatsheet - eine Sammlung von HTML5-bezogenen XSS-Angriffsvektoren. XSS String Encoder - zum Generieren von XSS-Code, um Ihre Eingabevalidierungsfilter gegen XSS zu überprüfen. go awayBins - Liste von Unix-Binärdateien, die von einem Angreifer ausgenutzt werden können, um lokale Sicherheitsbeschränkungen zu umgehen. Guifre Ruiz Notes - Sammlung von Sicherheits-, System-, Netzwerk- und Pentest-Spickzetteln. SSRF-Spitzen - eine Sammlung von SSRF-Spitzen. shell-storm repo CTF - großartiges Archiv von CTFs. ctf - CTF (Capture The Flag) Beschreibungen, Code-Schnipsel, Notizen, Skripte. My-CTF-Web-Challenges - Sammlung von CTF Web Challenges. MSTG - Der Mobile Security Testing Guide (MSTG) ist ein umfassendes Handbuch für Sicherheitstests für mobile Apps. Internal-Pentest-Playbook - Hinweise zu den häufigsten Dingen für einen internen Netzwerk-Penetrationstest. KeyHacks - zeigt schnelle Möglichkeiten, wie API-Schlüssel, die von einem Bug-Bounty-Programm geleakt wurden, überprüft werden können. securitum/research - verschiedene Proof of Concepts der Sicherheitsforschung von Securitum. public-pentesting-reports - ist eine Liste von öffentlichen Pentest-Berichten, die von mehreren beratenden Sicherheitsgruppen veröffentlicht wurden. awesome-bug-bounty - ist eine umfassende, kuratierte Liste verfügbarer Bug Bounty. bug-bounty-reference - ist eine Liste von Bug-Bounty-Beschreibungen. Awesome-Bugbounty-Writeups - ist eine kuratierte Liste von Bugbounty-Writeups. Bug-Bounty-Beschreibungen - Liste der Bug-Bounty-Beschreibungen (2012-2020). hackso.me - eine großartige Reise in die Sicherheit. ▪️ Hintertüren/Exploits PHP-Backdoors - eine Sammlung von PHP-Backdoors. Nur zu Bildungs- oder Testzwecken. ▪️ Wortlisten und schwache Passwörter Weakpass - für jede Art von Bruteforce finden Sie Wortlisten oder entfesseln Sie die Kraft aller auf einmal! Hashes.org - ist ein kostenloser Online-Hash-Auflösungsdienst mit vielen unvergleichlichen Techniken. SecLists - Sammlung mehrerer Arten von Listen, die bei Sicherheitsbewertungen verwendet werden, gesammelt an einem Ort. Wahrscheinlichkeits-Wortlisten - sortiert nach Wahrscheinlichkeit, die ursprünglich für die Passwortgenerierung und -prüfung erstellt wurden. skullsecurity passwords - Passwortwörterbücher und Repository für durchgesickerte Passwörter. Polnisches PREMIUM-Wörterbuch - offizielles Wörterbuch, das vom Team im Forum bezpieka.org erstellt wurde.* 1 statistically-likely-usernames - Wortlisten zum Erstellen statistisch wahrscheinlicher Benutzernamenlisten. ▪️ Bounty-Plattformen YesWeHack - Bug-Bounty-Plattform mit Infosec-Jobs. Openbugbounty - ermöglicht es jedem Sicherheitsforscher, eine Schwachstelle auf jeder Website zu melden. HackerOne - Globale Hacker-Community, um die relevantesten Sicherheitsprobleme aufzudecken. BugCrowd - Crowdsourcing-Cybersicherheit für Unternehmen. Crowdshield - Crowdsourcing-Sicherheit und Bug-Bounty-Management. Synack - Crowdsourcing-Sicherheits- und Bug-Bounty-Programme, Crowd-Security-Intelligence-Plattform und mehr. Hacktrophy - Bug-Bounty-Plattform. ▪️ Web-Trainings-Apps (lokale Installation) OWASP-VWAD - umfassende und gut gepflegte Registrierung aller bekannten anfälligen Webanwendungen. DVWA - PHP/MySQL-Webanwendung, die verdammt anfällig ist. Metasploitable2 - anfällige Webanwendung unter Sicherheitsforschern. metasploitable3 - ist eine VM, die von Grund auf mit einer großen Anzahl von Sicherheitslücken erstellt wurde. DSVW - ist eine absichtlich anfällige Webanwendung, die in weniger als 100 Codezeilen geschrieben ist. OWASP Mutillidae II - kostenlose, quelloffene, absichtlich angreifbare Webanwendung. OWASP Juice Shop Project - die fehlerfreieste anfällige Anwendung, die es gibt. OWASP Node js Goat Project - OWASP Die 10 größten Sicherheitsrisiken gelten für Web-Apps, die mit Node.js entwickelt wurden. juicy-ctf - Capture the Flags und Sicherheitstrainings mit OWASP Juice Shop durchführen. SecurityShepherd - Schulungsplattform für die Sicherheit von Web- und mobilen Anwendungen. Security Ninjas - Open-Source-Schulungsprogramm für Anwendungssicherheit. hackazon - eine moderne, anfällige Web-App. dvna - verdammt anfällige NodeJS-Anwendung. django-DefectDojo - ist ein Open-Source-Tool zur Korrelation von Anwendungsschwachstellen und zur Orchestrierung von Sicherheitsrisiken. Google Gruyère - Exploits und Abwehrmaßnahmen für Webanwendungen. Bodhi - ist ein Spielplatz, der sich auf das Erlernen der Ausnutzung von clientseitigen Web-Schwachstellen konzentriert. Websploit - ein einzelnes VM-Lab mit dem Ziel, mehrere anfällige Anwendungen in einer Umgebung zu kombinieren. vulhub - vorgefertigte anfällige Umgebungen basierend auf docker-compose. CloudGoat 2 - das neue & verbesserte "Vulnerable by Design" AWS-Bereitstellungstool. secDevLabs - ist ein Labor zum praktischen Erlernen sicherer Webentwicklung. CORS-vulnerable-Lab - Beispiel für anfälligen Code und seinen Exploit-Code. RootTheBox - ein Spiel der Hacker (CTF Scoreboard & Game Manager). KONTRA - Application Security Training (OWASP Top Web & Api). ▪️ Labs (ethische Hacking-Plattformen/Schulungen/CTFs) Offensive Security - echtes leistungsbasiertes Penetrationstest-Training seit über einem Jahrzehnt. Hack The Box - Online-Plattform, mit der Sie Ihre Fähigkeiten im Bereich Penetrationstests testen können. Hacking-Lab - Online-Plattform für ethisches Hacking, Computernetzwerke und Sicherheitsherausforderungen. pwnable.kr - nicht-kommerzielle Kriegsspielseite, die verschiedene PWN-Herausforderungen bietet. Pwnable.tw - ist eine Wargame-Site für Hacker, um ihre binären Exploiting-Fähigkeiten zu testen und zu erweitern. picoCTF ist ein kostenloses Computersicherheitsspiel, das sich an Schüler der Mittel- und Oberstufe richtet. CTFlearn - ist eine Online-Plattform, die ethischen Hackern hilft, ihr Wissen über Cybersicherheit zu erlernen und zu üben. ctftime - CTF-Archiv und ein Ort, an dem Sie weitere CTF-bezogene Informationen erhalten können. Silesia Security Lab - hochwertige Sicherheitstestdienste. Practical Pentest Labs - Pentest-Labor, bringen Sie Ihre Hacking-Fähigkeiten auf die nächste Stufe. Root Me - die schnelle, einfache und kostengünstige Möglichkeit, Ihre Hacking-Fähigkeiten zu trainieren. rozwal.to - eine großartige Plattform, um Ihre Pentesting-Fähigkeiten zu trainieren. TryHackMe - Cyber Security lernen leicht gemacht. Hackxor - ist ein realistisches Hacking-Spiel für Webanwendungen, das Spielern aller Fähigkeiten helfen soll, ihre Fähigkeiten zu entwickeln. Hacken Sie sich zuerst - es ist voll von fiesen App-Sec-Löchern. OverTheWire - kann Ihnen helfen, Sicherheitskonzepte in Form von unterhaltsamen Spielen zu erlernen und zu üben. Wizard Labs - ist ein Online-Penetrationstestlabor. PentesterLab - bietet anfällige Systeme, die zum Testen und Verstehen von Schwachstellen verwendet werden können. RingZer0 - jede Menge Herausforderungen, um deine Hacking-Fähigkeiten zu testen und zu verbessern. try2hack - mehrere sicherheitsorientierte Herausforderungen für Ihre Unterhaltung. Ubeeri - vorkonfigurierte Laborumgebungen. Pentestit - emulieren Sie IT-Infrastrukturen realer Unternehmen für legale Pentests und die Verbesserung der Pentest-Fähigkeiten. Microcorruption - Umkehrungsherausforderungen in der Weboberfläche. Crackmes - Laden Sie Crackmes herunter, um Ihre Reverse-Engineering-Fähigkeiten zu verbessern. DomGoat - DOM XSS-Sicherheitslern- und Übungsplattform. Stereotyped Challenges - Verbessern Sie Ihre Web-Hacking-Techniken noch heute! Vulnhub - ermöglicht es jedem, praktische Erfahrungen in der digitalen Sicherheit zu sammeln. W3Challs - ist eine Trainingsplattform für Penetrationstests, die verschiedene Computerherausforderungen bietet. RingZer0 CTF - bietet Ihnen unzählige Herausforderungen, um Ihre Hacking-Fähigkeiten zu testen und zu verbessern. Hack.me - eine Plattform, auf der Sie Vulner erstellen, hosten und teilen könnenfähige Web-Apps für Bildungszwecke. HackThis! - Entdecken Sie, wie Hacks, Dumps und Verunstaltungen durchgeführt werden und sichern Sie Ihre Website. Enigma Group WebApp Training - diese Herausforderungen decken die im OWASP Top 10 Projekt aufgeführten Exploits ab. Reverse Engineering Challenges - Herausforderungen, Übungen, Probleme und Aufgaben - nach Level, Typ und mehr. 0x00sec - die Heimat des Hackers - Malware, Reverse Engineering und Informatik. We Chall - es gibt viele verschiedene Herausforderungstypen. Hacker Gateway - ist die Anlaufstelle für Hacker, die ihre Fähigkeiten testen möchten. Hacker101 - ist ein kostenloser Kurs für Websicherheit. contained.af - ein dummes Spiel, um etwas über Container, Fähigkeiten und Systemaufrufe zu lernen. flAWS Challenge! - eine Reihe von Levels, in denen Sie häufige Fehler und Fallstricke bei der Verwendung von AWS kennenlernen. CyberSec WTF - bietet Web-Hacking-Herausforderungen, die aus Kopfgeldbeschreibungen abgeleitet werden. CTF-Herausforderung - CTF-Web-App-Herausforderungen. gCTF - die meisten Herausforderungen, die im Google CTF 2017 verwendet werden. Hack This Site - ist ein kostenloses, sicheres und legales Trainingsgelände für Hacker. Attack & Defense - ist ein browserbasiertes Cloud-Labor. Cryptohack - eine unterhaltsame Plattform zum Erlernen moderner Kryptographie. Cryptopals - die Krypto-Herausforderungen von Cryptopals. ▪️ CTF platforms fbctf - platform to host Capture the Flag competitions. ctfscoreboard - scoreboard for Capture The Flag competitions. ▪️ Other resources Bugcrowd University - open source education content for the researcher community. OSCPRepo - a list of resources and scripts that I have been gathering in preparation for the OSCP. OWASP Top 10: Real-World Examples - test your web apps with real-world examples (two-part series). phrack.org - an awesome collection of articles from several respected hackers and other thinkers. Practical-Ethical-Hacking-Resources - compilation of resources from TCM's Udemy Course. Your daily knowledge and news [TOC] ▪️ RSS Readers Feedly - organisieren, lesen und teilen Sie, was Ihnen wichtig ist. Inoreader - ähnlich wie Feedly mit einer Unterstützung zum Filtern dessen, was Sie von RSS abrufen. ▪️ IRC-Kanäle #hackerspaces - Hackerspace-IRC-Kanäle. ▪️ Sicherheit The Hacker News - führende Nachrichtenquelle, die sich der Förderung des Bewusstseins für Sicherheitsexperten und Hacker verschrieben hat. Neueste Hacking-Nachrichten - bietet die neuesten Hacking-Nachrichten, Exploits und Schwachstellen für ethische Hacker. Security Newsletter - Sicherheitsnachrichten als wöchentliche Zusammenfassung (E-Mail-Benachrichtigungen). Google Online Security Blog - die neuesten Nachrichten und Erkenntnisse von Google zum Thema Sicherheit im Internet. Qualys Blog - Expertenanleitungen und Neuigkeiten zur Netzwerksicherheit. DARKReading - Vernetzung der Information Security Community. Darknet - neueste Hacking-Tools, Hacker-News, Best Practices für Cybersicherheit, ethisches Hacking und Pen-Tests. publiclyRevealed - Public Disclosure Watcher, der Sie über die kürzlich aufgedeckten Fehler auf dem Laufenden hält. Reddit - Hacking - ein Subreddit, der sich dem Hacken und Hackern widmet. Packet Storm - Informationssicherheitsdienste, Nachrichten, Dateien, Tools, Exploits, Advisories und Whitepapers. Sekurak - über Sicherheit, Penetrationstests, Schwachstellen und viele andere (PL/EN). nf.sec - grundlegende Aspekte und Mechanismen der Linux-Betriebssystemsicherheit (PL). ▪️ Sonstiges/All-in-one Changelog - ist eine Community von Hackern; News & Podcasts für Entwickler und Hacker. Andere Spickzettel [Inhaltsverzeichnis] Erstellen Sie Ihre eigenen DNS-Server Unbound DNS Tutorial - ein validierender, rekursiver und zwischengespeicherter DNS-Server. Knot Resolver auf Fedora - So erhalten Sie eine schnellere und sicherere DNS-Auflösung mit Knot Resolver auf Fedora. DNS-over-HTTPS - Tutorial zum Einrichten Ihres eigenen DNS-over-HTTPS (DoH)-Servers. dns-over-https - eine Cartoon-Einführung in DNS über HTTPS. DNS-over-TLS - Richten Sie nach Ihrem DoH-Server Ihren DNS-over-TLS (DoT)-Server ein. DNS-Server - wie (und warum) ich meine eigenen DNS-Server betreibe. Erstellen Sie Ihre eigene Zertifizierungsstelle OpenSSL-Zertifizierungsstelle - Erstellen Sie Ihre eigene Zertifizierungsstelle (CA) mit den OpenSSL-Tools. step-ca Zertifizierungsstelle - Erstellen Sie Ihre eigene Zertifizierungsstelle (CA) mit Open Source step-ca. Erstellen Sie Ihr eigenes System/Ihre eigene virtuelle Maschine os-tutorial - wie man ein Betriebssystem von Grund auf neu erstellt. Schreiben Sie Ihre eigene virtuelle Maschine - wie Sie Ihre eigene virtuelle Maschine (VM) schreiben. x86-Bare-Metal-Beispiele - Dutzende von minimalen Betriebssystemen zum Erlernen der x86-Systemprogrammierung. simple-computer - die Scott-CPU aus "But How Do It Know?" von J. Clark Scott. littleosbook - das kleine Buch über die Entwicklung von Betriebssystemen. DNS-Serverliste (Datenschutz) IP URL (Englisch) 84.200.69.80 dns.watch 94.247.43.254 opennic.org 64.6.64.6 verisign.com 89.233.43.71 censurfridns.dk 1.1.1.1 cloudflare.com 94.130.110.185 dnsprivacy.at TOP Browser-Erweiterungen Name der Erweiterung Beschreibung IPvFoo Zeigen Sie die Server-IP-Adresse und HTTPS-Informationen für alle Seitenelemente an. FoxyProxy Vereinfacht die Konfiguration von Browsern für den Zugriff auf Proxy-Server. HTTPS Everywhere Verwenden Sie die HTTPS-Sicherheit automatisch auf vielen Websites. uMatrix Point & Click, um jede Art von Anfragen Ihres Browsers zu verbieten/zulassen. uBlock Origin Ein effizienter Blocker: Schont den Arbeitsspeicher und den CPU-Platzbedarf. Session Buddy Verwalten Sie Browser-Tabs und Lesezeichen mit Leichtigkeit. SuperSorter Sortieren Sie Lesezeichen rekursiv, löschen Sie Duplikate, führen Sie Ordner zusammen und vieles mehr. Clear Cache Löschen Sie Ihren Cache und Ihre Browserdaten. d3coder Kodierungs-/Dekodierungs-Plugin für verschiedene Arten der Kodierung. Web Developer Fügt eine Symbolleistenschaltfläche mit verschiedenen Webentwicklertools hinzu. ThreatPinch Lookup Fügen Sie Threat Intelligence-Hover-Tooltips hinzu. TOP Burp Extensions Name der Erweiterung Beschreibung Active Scan++ Erweitert die aktiven und passiven Scanfunktionen von Burp. Autorize Erkennt automatisch die Durchsetzung von Autorisierungen. AuthMatrix Ein einfaches Matrixraster zum Definieren der gewünschten Zugriffsrechte. Logger++ Protokolliert Anfragen und Antworten für alle Burp-Tools in einer sortierbaren Tabelle. Bypass WAF Fügt Header hinzu, die zum Umgehen einiger WAF-Geräte nützlich sind. JSON Beautifier Verschönert JSON-Inhalte im HTTP-Nachrichten-Viewer. JSON Web Tokens Ermöglicht Burp das Decodieren und Bearbeiten von JSON-Webtoken. CSP Auditor Zeigt CSP-Header für Antworten an und meldet passiv CSP-Schwachstellen. CSP-Bypass Sucht passiv nach CSP-Headern, die bekannte Umgehungen enthalten. Hackvertor Konvertiert Daten mithilfe einer Tag-basierten Konfiguration, um verschiedene Codierungen anzuwenden. HTML5 Auditor Scannt nach riskanten HTML5-Funktionen. Software Vulnerability Scanner Schwachstellen-Scanner basierend auf vulners.com Audit-API. Turbo Intruder Ist ein mächtiges Bruteforce-Werkzeug. Upload Scanner Laden Sie eine Reihe verschiedener Dateitypen hoch, die mit unterschiedlichen Formen von Nutzlast versehen sind. Hacken Sie die Adressleiste von Mozilla Firefox In der Adressleiste von Firefox können Sie die Ergebnisse einschränken, indem Sie Sonderzeichen vor oder nach Ihrem Begriff eingeben: ^ - für Übereinstimmungen in Ihrem Browserverlauf für Übereinstimmungen in Ihren Lesezeichen. % - für Übereinstimmungen in Ihren derzeit geöffneten Tabs.

  • für Übereinstimmungen in Seitentiteln. @ - für Übereinstimmungen in Webadressen. Versteckte Chrome-Befehle chrome://chrome-urls - Liste aller Befehle chrome://flags - Experimente und Entwicklungsfunktionen aktivieren chrome://interstitials - Fehler und Warnungen chrome://net-internals - Netzwerkinterna (Ereignisse, DNS, Cache) chrome://network-errors - Netzwerkfehler chrome://net-export - Beginnen Sie mit der Protokollierung zukünftiger Netzwerkaktivitäten in einer Datei chrome://safe-browsing - Sichere Browsing-Optionen chrome://user-actions - alle Benutzeraktionen aufzeichnen chrome://restart - Chrome neu starten chrome://dino - ERR_INTERNET_DISCONNECTED... cache: - Zeigen Sie die zwischengespeicherte Version der Webseite an Umgehen von WAFs durch Kürzen der IP-Adresse (durch 0xInfection) IP-Adressen können gekürzt werden, indem die Nullen weggelassen werden: http://1.0.0.1http://1.1 http://127.0.0.1http://127.1 http://192.168.0.1http://192.168.1 http://0xC0A80001 or http://3232235521 → 192.168.0.1 http://192.168.257 → 192.168.1.1 http://192.168.516 → 192.168.2.4 Dadurch werden WAF-Filter für SSRF, Open-Redirect usw. umgangen, bei denen jede IP als Eingabe auf die schwarze Liste gesetzt wird. Weitere Informationen finden Sie unter So verdecken Sie URL- und magische IP-Adressverknüpfungen. Hashing, Verschlüsselung und Codierung (von Michal Špaček) Hackend Klartext ➡️ Hash Hash ⛔ Klartext Symmetrische Verschlüsselung Klartext ➡️ ? ➡️ Chiffretext Klartext ⬅️ ? ⬅️ Chiffretext (:key: Gemeinsamer Schlüssel) Asymmetrische Verschlüsselung Klartext ➡️ ? ➡️ Chiffretext Klartext ⬅️ 〽️ ⬅️ Chiffretext (:key: öffentlicher Schlüssel, :p art_alternation_mark: privater Schlüssel) Codierung Text ➡️ codiert Text ⬅️ codiert Shell Einzeiler [Inhaltsverzeichnis] Inhaltsverzeichnis Terminal busybox montieren Fixiereinheit LSOF PS Nach oben vmstat IOSTAT strace töten finden Unterschiede vimdiff Schwanz CPULIMIT pwdx Tr chmod Wer letzte Bildschirm Skript du inotifywait openssl Sicheres Löschen Dd gpg System-Sonstiges Locke httpie ssh linux-dev tcpdump tcpick ngrep HPING3 nmap NETCAT Socat p0f gnutls-cli netstat rsync Gastgeber graben certbot Netzwerk-Sonstiges Einguss Awk Sed Grep Perl Werkzeug: Terminal Shell ohne Ausgang neu laden exec Misplaced &

$SHELL -l Schließen Sie die Shell und halten Sie alle Unterprozesse am Laufen disown -a &amp;&amp; exit Beenden ohne Speichern des Shell-Verlaufs kill -9 $ $ unset HISTFILE && exit Ausführen einer Verzweigungsbedingung true && echo success false || echo failed Leiten Sie stdout und stderr an separate Befehle some_command > >(/bin/cmd_for_stdout) 2> >(/bin/cmd_for_stderr) Leiten Sie stdout und stderr jeweils in separate Dateien um und drucken Sie beide auf dem Bildschirm (some_command 2>&1 1>&3 | tee errorlog ) 3>&1 1>&2 | tee stdoutlog Liste der Befehle, die Sie am häufigsten verwenden history | awk '{CMD[$2]++;count++;}END { for (a in CMD)print CMD[a] " " CMD[a]/count100 "% " a;}' | grep -v "./" | column -c3 -s " " -t | sort -nr | nl | head -n 20 Sterilisieren Sie den Bash-Verlauf function sterile() { history | awk '$2 != "history" { $1=""; print $0 }' | egrep -vi " curl\b+.(-E|--cert)\b+.\b| curl\b+.--pass\b+.\b*| curl\b+.(-U|--proxy-user).:.\b| curl\b+.(-u|--user).:.\b .(-H|--header).(token|auth.)\b+.| wget\b+.--.password\b+.\b| http.?://.+:.+@.* " > $HOME/histbuff; history -r $HOME/histbuff; } export PROMPT_COMMAND="sterile" Siehe auch: Ein naives Dienstprogramm zur Zensur von Anmeldeinformationen in der Befehlshistorie. Schnelles Sichern einer Datei cp filename{,.orig} Leeren einer Datei (auf 0 abschneiden) filename Löschen Sie alle Dateien in einem Ordner, die nicht mit einer bestimmten Dateierweiterung übereinstimmen rm !(.foo|.bar|.baz) Übergeben Sie eine mehrzeilige Zeichenfolge an eine Datei cat >filename ... - overwrite the file cat >>filename ... - append to a file cat > filename << EOF data data data EOF Bearbeiten einer Datei auf einem Remote-Host mit vim vim scp://user@host//etc/fstab Erstellen Sie ein Verzeichnis und wechseln Sie gleichzeitig in dieses mkd() { mkdir -p "$@" && cd "$@"; } Konvertieren Sie Dateien in Großbuchstaben rename 'y/A-Z/a-z/' * Drucken Sie eine Zeichenreihe über das Terminal printf "%tput colss" | tr ' ' '#' Shell-Historie ohne Zeilennummern anzeigen history | cut -c 8- fc -l -n 1 | sed 's/^\s//' Ausführen von Befehlen nach dem Beenden der Sitzung cat > /etc/profile << EOF _after_logout() { username=$(whoami) for _pid in $(ps afx | grep sshd | grep "$username" | awk '{print $1}') ; do kill -9 $_pid done } trap _after_logout EXIT EOF Generieren einer Zahlenfolge for ((i=1; i<=10; i+=2)) ; do echo $i ; done alternative: seq 1 2 10 for ((i=5; i<=10; ++i)) ; do printf '%02d\n' $i ; done alternative: seq -w 5 10 for i in {1..10} ; do echo $i ; done Einfaches Bash-Filewatching unset MAIL; export MAILCHECK=1; export MAILPATH='$FILE_TO_WATCH?$MESSAGE' Werkzeug: busybox Statischer HTTP-Webserver busybox httpd -p $PORT -h $HOME [-c httpd.conf] Werkzeug: Halterung Temporäre RAM-Partition einbinden mount -t tmpfs tmpfs /mnt -o size=64M -t - Typ des Dateisystems -o - Mount-Optionen Ein Dateisystem als Lese-/Schreibzugriff neu einhängen mount -o remount,rw / Werkzeug: Fixiereinheit Zeigen Sie, welche Prozesse die Dateien/Verzeichnisse verwenden fuser /var/log/daemon.log fuser -v /home/supervisor Beendet einen Prozess, der eine Datei sperrt fuser -ki filename -i - interaktive Option Beendet einen Prozess, der eine Datei mit einem bestimmten Signal sperrt fuser -k -HUP filename --list-signals - Liste der verfügbaren Signalnamen Zeigen Sie, welche PID auf einem bestimmten Port lauscht fuser -v 53/udp Alle Prozesse anzeigen, die das benannte Dateisystem oder Blockgerät verwenden fuser -mv /var/www Werkzeug: lsof Zeigen Sie Prozesse an, die derzeit eine Internetverbindung verwenden lsof -P -i -n Prozess anzeigen, der eine bestimmte Portnummer verwendet lsof -i tcp:443 Listet alle Listening-Ports zusammen mit der PID des zugehörigen Prozesses auf lsof -Pan -i tcp -i udp Auflisten aller offenen Ports und der zugehörigen ausführbaren Dateien lsof -i -P | grep -i "listen" Alle offenen Ports anzeigen lsof -Pnl -i Offene Ports anzeigen (LISTEN) lsof -Pni4 | grep LISTEN | column -t Listet alle Dateien auf, die mit einem bestimmten Befehl geöffnet wurden lsof -c "process" Anzeigen der Benutzeraktivität pro Verzeichnis lsof -u username -a +D /etc Zeige die 10 größten geöffneten Dateien lsof / | awk '{ if($7 > 1048576) print $7/1048576 "MB" " " $9 " " $1 }' | sort -n -u | tail | column -t Aktuelles Arbeitsverzeichnis eines Prozesses anzeigen lsof -p | grep cwd Werkzeug: ps Anzeigen eines 4-fach scrollbaren Prozessbaums mit allen Details ps awwfux | less -S Prozesse pro Benutzerzähler ps hax -o user | sort | uniq -c | sort -r Alle Prozesse nach Namen mit Hauptkopf anzeigen ps -lfC nginx Werkzeug: finden Suchen von Dateien, die in den letzten 60 Minuten auf Ihrem System geändert wurden find / -mmin 60 -type f Finden Sie alle Dateien, die größer als 20 MB sind find / -type f -size +20M Doppelte Dateien finden (basierend auf MD5-Hash) find -type f -exec md5sum '{}' ';' | sort | uniq --all-repeated=separate -w 33 Berechtigung nur für Dateien ändern cd /var/www/site && find . -type f -exec chmod 766 {} ; cd /var/www/site && find . -type f -exec chmod 664 {} + Berechtigung nur für Verzeichnisse ändern cd /var/www/site && find . -type d -exec chmod g+x {} ; cd /var/www/site && find . -type d -exec chmod g+rwx {} + Suchen von Dateien und Verzeichnissen für bestimmte Benutzer/Gruppen User: find . -user -print find /etc -type f -user -name ".conf" Group: find /opt -group find /etc -type f -group -iname ".conf" Finden Sie Dateien und Verzeichnisse für alle ohne bestimmten Benutzer/eine bestimmte Gruppe User: find . ! -user -print Group: find . ! -group Suchen nach Dateien/Verzeichnissen, die nur bestimmte Berechtigungen haben User find . -user -perm -u+rw # -rw-r--r-- find /home -user $(whoami) -perm 777 # -rwxrwxrwx Group: find /home -type d -group -perm 755 # -rwxr-xr-x Löschen älterer Dateien als 60 Tage find . -type f -mtime +60 -delete Rekursiv alle leeren Unterverzeichnisse aus einem Verzeichnis entfernen find . -depth -type d -empty -exec rmdir {} ; So finden Sie alle Hardlinks zu einer Datei find </path/to/dir> -xdev -samefile filename Rekursiv die zuletzt geänderten Dateien finden find . -type f -exec stat --format '%Y :%y %n' "{}" ; | sort -nr | cut -d: -f2- | head Rekursives Suchen/Ersetzen eines Strings mit sed find . -not -path '/.git' -type f -print0 | xargs -0 sed -i 's/foo/bar/g' Rekursives Suchen/Ersetzen eines Strings in Verzeichnissen und Dateinamen find . -depth -name 'test' -execdir bash -c 'mv -v "$1" "${1//foo/bar}"' _ {} ; Rekursives Suchen von ausführbaren Suid-Dateien find / ( -perm -4000 -o -perm -2000 ) -type f -exec ls -la {} ; Werkzeug: oben Verwenden Sie top, um nur alle Prozesse mit der spezifischen Zeichenfolge zu überwachen top -p $(pgrep -d , ) - Prozess, der eine Zeichenfolge enthält (z. B. nginx, worker) Werkzeug: vmstat Aktuelle Systemauslastung anzeigen (Felder in Kilobyte) vmstat 2 20 -t -w 2 - Anzahl der Male mit einem definierten Zeitintervall (Verzögerung) 20 - jede Ausführung des Befehls (Anzahl) -t - Zeitstempel anzeigen -w - breite Leistung -S M - Ausgabe der Felder in Megabyte statt Kilobyte Die aktuelle Systemauslastung wird alle 5 Sekunden aktualisiert vmstat 5 -w Zeigen Sie einen Bericht mit einer Zusammenfassung der Datenträgervorgänge an vmstat -D Anzeige von Ereigniszählern und Speicherstatistiken vmstat -s Bericht über Kernel-Objekte anzeigen, die im Slab-Layer-Cache gespeichert sind vmstat -m Werkzeug: iostat Zeigen Sie Informationen über die CPU-Auslastung und E/A-Statistiken für alle Partitionen an iostat 2 10 -t -m 2 - Anzahl der Male mit einem definierten Zeitintervall (Verzögerung) 10 - jede Ausführung des Befehls (Anzahl) -t - Zeitstempel anzeigen -m - Felder in Megabyte ( - in Kilobyte, Standard)-k Nur Informationen über die CPU-Auslastung anzeigen iostat 2 10 -t -m -c Nur Informationen über die Festplattenauslastung anzeigen iostat 2 10 -t -m -d Nur Informationen über die LVM-Auslastung anzeigen iostat -N Werkzeug: strace Nachverfolgen mit untergeordneten Prozessen 1) strace -f -p $(pidof glusterfsd) 2) strace -f (< /var/run/zabbix/zabbix_agentd.pid) Verfolgen von Prozessen und Umleiten der Ausgabe in eine Datei ps auxw | grep '[a]pache' | awk '{print " -p " $2}' | xargs strace -o /tmp/strace-apache-proc.out Verfolgen Sie die in jedem Systemaufruf verbrachte Druckzeit und begrenzen Sie die Länge der Druckzeichenfolgen ps auxw | grep '[i]init_policy' | awk '{print " -p " $2}' | xargs strace -f -e trace=network -T -s 10000 Verfolgen Sie die offene Anforderung eines Netzwerkports strace -f -e trace=bind nc -l 80 Verfolgen Sie die offene Anfrage eines Netzwerkports (TCP/UDP anzeigen) strace -f -e trace=network nc -lu 80 Werkzeug: Töten Beenden eines Prozesses, der auf dem Port ausgeführt wird kill -9 $(lsof -i : | awk '{l=$2} END {print l}') Werkzeug: diff Vergleichen Sie zwei Verzeichnisbäume diff <(cd directory1 && find | sort) <(cd directory2 && find | sort) Vergleichen Sie die Ausgabe zweier Befehle diff <(cat /etc/passwd) <(cut -f2 /etc/passwd) Werkzeug: vimdiff Heben Sie die genauen Unterschiede hervor, basierend auf Zeichen und Wörtern vimdiff file1 file2 Vergleichen Sie zwei JSON-Dateien vimdiff <(jq -S . A.json) <(jq -S . B.json) Vergleichen Hex-Dump d(){ vimdiff <(f $1) <(f $2);};f(){ hexdump -C $1 | cut -d' ' -f3- | tr -s ' ';}; d ~/bin1 ~/bin2 diffchar Diffchar speichern @ ~/.vim/plugins Klicken Sie hier, um zwischen den Diff-Modi zu wechselnF7 Nützliche Befehle:vimdiff qa So schließen Sie alle Fenster :vertical resize 70 So ändern Sie die Fenstergröße Fensterbreite einstellen Ctrl+W [N columns]+(Shift+)&lt;&gt; Werkzeug: Schwanz Tail -f mit Zeitstempeln annotieren tail -f file | while read ; do echo "$(date +%T.%N) $REPLY" ; done Analysieren Sie ein Apache-Zugriffsprotokoll für die gängigsten IP-Adressen tail -10000 access_log | awk '{print Extra close brace or missing open brace

$1}' | sort | uniq -c | sort -n | tail Webserver-Log analysieren und nur 5xx-HTTP-Codes anzeigen tail -n 100 -f /path/to/logfile | grep "HTTP/[1-2].[0-1]" [5]" Werkzeug: Teer Systemsicherung mit Ausschluss bestimmter Verzeichnisse cd / tar -czvpf /mnt/system$ (date +%d%m%Y%s).tgz --directory=/ --exclude=proc/* --exclude=sys/* --exclude=dev/* --exclude=mnt/* . Systemsicherung mit Ausschluss bestimmter Verzeichnisse (pigz) cd / tar cvpf /backup/snapshot-$(date +%d%m%Y%s).tgz --directory=/ --exclude=proc/* --exclude=sys/* --exclude=dev/* --exclude=mnt/* --exclude=tmp/* --use-compress-program=pigz . Werkzeug: dump Systemsicherung in Datei dump -y -u -f /backup/system$(date +%d%m%Y%s).lzo / System aus lzo-Datei wiederherstellen cd / restore -rf /backup/system$(date +%d%m%Y%s).lzo Werkzeug: cpulimit Begrenzen der CPU-Auslastung eines Prozesses cpulimit -p pid -l 50 Werkzeug: pwdx Aktuelles Arbeitsverzeichnis eines Prozesses anzeigen pwdx Werkzeug: Taskset Starten eines Befehls auf nur einem CPU-Kern taskset -c 0 Werkzeug: tr Verzeichnisse im PATH anzeigen, eines pro Zeile tr : '\n' <<<$PATH Werkzeug: chmod Entfernen Sie das ausführbare Bit aus allen Dateien im aktuellen Verzeichnis chmod -R -x+X * Berechtigung für /bin/chmod wiederherstellen 1: cp /bin/ls chmod.01 cp /bin/chmod chmod.01 ./chmod.01 700 file 2: /bin/busybox chmod 0700 /bin/chmod 3: setfacl --set u::rwx,g::---,o::--- /bin/chmod Tool: Wer Letzte Neustartzeit ermitteln who -b Erkennen eines Benutzers sudo-su'd in der aktuellen Shell [[ $(who -m | awk '{ print Extra close brace or missing open brace

$1 }') == $ (whoami) ]] || echo "You are su-ed to (ls -1t /var/log/wtmp* | head -2 | tail -1); last -x -f /var/log/wtmp) | grep -A1 reboot | head -2 | grep -q shutdown && echo "Expected reboot" || echo "Panic reboot" Werkzeug: Bildschirm Startbildschirm im getrennten Modus screen -d -m An eine vorhandene Bildschirmsitzung anhängen screen -r -d Werkzeug: Skript Aufzeichnen und Wiedergeben von Terminalsitzungen Record session 1) script -t 2>~/session.time -a ~/session.log 2) script --timing=session.time session.log Replay session scriptreplay --timing=session.time session.log Tool: du Show 20 biggest directories with 'K M G' du | sort -r -n | awk '{split("K M G",v); s=1; while($1>1024){$1/=1024; s++} print int($1)" "v[s]"\t"$2}' | head -n 20 Werkzeug: inotifywait Init-Tool jedes Mal, wenn eine Datei in einem Verzeichnis geändert wird while true ; do inotifywait -r -e MODIFY dir/ && ls dir/ ; done; Werkzeug: openssl Testen der Verbindung zum Remote-Host echo | openssl s_client -connect google.com:443 -showcerts Testen der Verbindung zum Remote-Host (Debug-Modus) echo | openssl s_client -connect google.com:443 -showcerts -tlsextdebug -status Testen der Verbindung zum Remote-Host (mit SNI-Unterstützung) echo | openssl s_client -showcerts -servername google.com -connect google.com:443 Testen der Verbindung zum Remote-Host mit einer bestimmten SSL-Version openssl s_client -tls1_2 -connect google.com:443 Testen der Verbindung zum Remote-Host mit einer bestimmten SSL-Verschlüsselung openssl s_client -cipher 'AES128-SHA' -connect google.com:443 0-RTT überprüfen _host="example.com" cat > req.in << EOF HEAD / HTTP/1.1 Host: $_host Connection: close EOF openssl s_client -connect {_host}:443 -tls1_3 -sess_in session.pem -early_data req.in Privaten Schlüssel ohne Passphrase generieren _len: 2048, 4096 ( _fd="private.key" ; _len="2048" ; openssl genrsa -out ${_fd} ${_len} ) Privaten Schlüssel mit Passphrase generieren _ciph: aes128, aes256 _len: 2048, 4096 ( _ciph="aes128" ; _fd="private.key" ; _len="2048" ; openssl genrsa -${_ciph} -out ${_fd} ${_len} ) Entfernen Sie die Passphrase aus dem privaten Schlüssel ( _fd="private.key" ; _fd_unp="private_unp.key" ; openssl rsa -in ${_fd} -out ${_fd_unp} ) Verschlüsseln Sie einen vorhandenen privaten Schlüssel mit einer Passphrase _ciph: aes128, aes256 ( _ciph="aes128" ; _fd="private.key" ; _fd_pass="private_pass.key" ; openssl rsa -${_ciph} -in ${_fd} -out ${_fd_pass} Privaten Schlüssel prüfen ( _fd="private.key" ; openssl rsa -check -in ${_fd} ) Abrufen des öffentlichen Schlüssels aus dem privaten Schlüssel ( _fd="private.key" ; _fd_pub="public.key" ; openssl rsa -pubout -in ${_fd} -out ${_fd_pub} ) Generieren von privatem Schlüssel und CSR ( _fd="private.key" ; _fd_csr="request.csr" ; _len="2048" ; openssl req -out ${_fd_csr} -new -newkey rsa:${_len} -nodes -keyout ${_fd} ) CSR generieren ( _fd="private.key" ; _fd_csr="request.csr" ; openssl req -out ${_fd_csr} -new -key ${_fd} ) CSR generieren (Metadaten aus vorhandenem Zertifikat) Wo ist der vorhandene private Schlüssel? Wie Sie sehen können, generieren Sie diese CSR nicht aus Ihrem Zertifikat (öffentlicher Schlüssel). Außerdem generieren Sie nicht die "gleiche" CSR, sondern nur eine neue, um ein neues Zertifikat anzufordern.private.key ( _fd="private.key" ; _fd_csr="request.csr" ; _fd_crt="cert.crt" ; openssl x509 -x509toreq -in ${_fd_crt} -out ${_fd_csr} -signkey ${_fd} ) CSR mit dem Parameter -config generieren ( _fd="private.key" ; _fd_csr="request.csr" ; openssl req -new -sha256 -key ${_fd} -out ${_fd_csr} -config <( cat << EOF [req] default_bits = 2048 default_md = sha256 prompt = no distinguished_name = dn req_extensions = req_ext [ dn ] C = "" ST = "" L = "" O = "" OU = " " CN = "" [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = DNS.2 = DNS.3 = EOF )) Andere Werte in :[ dn ] countryName = "DE" # C= stateOrProvinceName = "Hessen" # ST= localityName = "Keller" # L= postalCode = "424242" # L/postalcode= postalAddress = "Keller" # L/postaladdress= streetAddress = "Crater 1621" # L/street= organizationName = "apfelboymschule" # O= organizationalUnitName = "IT Department" # OU= commonName = "example.com" # CN= emailAddress = "webmaster@example.com" # CN/emailAddress= Beispiel für (Sie müssen OpenSSL wahrscheinlich auch über die neuen Felder informieren, die für EV erforderlich sind, indem Sie Folgendes unter hinzufügen):oids[new_oids] [req] ... oid_section = new_oids [ new_oids ] postalCode = 2.5.4.17 streetAddress = 2.5.4.9 Vollständiges Beispiel: ( _fd="private.key" ; _fd_csr="request.csr" ; openssl req -new -sha256 -key ${_fd} -out ${_fd_csr} -config <( cat << EOF [req] default_bits = 2048 default_md = sha256 prompt = no distinguished_name = dn req_extensions = req_ext oid_section = new_oids [ new_oids ] serialNumber = 2.5.4.5 streetAddress = 2.5.4.9 postalCode = 2.5.4.17 businessCategory = 2.5.4.15 [ dn ] serialNumber=00001111 businessCategory=Private Organization jurisdictionC=DE C=DE ST=Hessen L=Keller postalCode=424242 streetAddress=Crater 1621 O=AV Company OU=IT CN=example.com [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = example.com EOF )) Weitere Informationen finden Sie in diesen großartigen Erklärungen: RFC 5280 Erstellen von Multidomain-Zertifikaten mithilfe von Konfigurationsdateien Generieren eines Multi-Domain-Zertifikats mithilfe von Konfigurationsdateien Ihr OpenSSL CSR-Befehl ist veraltet OpenSSL-Beispiel-Konfigurationsdatei Objektbezeichner (OIDs) OpenSSL-objects.txt Liste der verfügbaren EC-Kurven openssl ecparam -list_curves Private und öffentliche ECDSA-Schlüssel drucken ( _fd="private.key" ; openssl ec -in ${_fd} -noout -text ) For x25519 only extracting public key ( _fd="private.key" ; _fd_pub="public.key" ; openssl pkey -in ${_fd} -pubout -out ${_fd_pub} ) Generieren des privaten ECDSA-Schlüssels _curve: prime256v1, secp521r1, secp384r1 ( _fd="private.key" ; _curve="prime256v1" ; openssl ecparam -out ${_fd} -name ${_curve} -genkey ) _curve: X25519 ( _fd="private.key" ; _curve="x25519" ; openssl genpkey -algorithm ${_curve} -out ${_fd} ) Generieren von privatem Schlüssel und CSR (ECC) _curve: prime256v1, secp521r1, secp384r1 ( _fd="domain.com.key" ; _fd_csr="domain.com.csr" ; _curve="prime256v1" ; openssl ecparam -out ${_fd} -name ${_curve} -genkey ; openssl req -new -key ${_fd} -out ${_fd_csr} -sha256 ) Generieren eines selbstsignierten Zertifikats _len: 2048, 4096 ( _fd="domain.key" ; _fd_out="domain.crt" ; _len="2048" ; _days="365" ; openssl req -newkey rsa:${_len} -nodes -keyout ${_fd} -x509 -days ${_days} -out ${_fd_out} ) Generieren Sie ein selbstsigniertes Zertifikat aus einem vorhandenen privaten Schlüssel _len: 2048, 4096 ( _fd="domain.key" ; _fd_out="domain.crt" ; _days="365" ; openssl req -key ${_fd} -nodes -x509 -days ${_days} -out ${_fd_out} ) Generieren Sie ein selbstsigniertes Zertifikat aus vorhandenem privatem Schlüssel und CSR _len: 2048, 4096 ( _fd="domain.key" ; _fd_csr="domain.csr" ; _fd_out="domain.crt" ; _days="365" ; openssl x509 -signkey ${_fd} -nodes -in ${_fd_csr} -req -days ${_days} -out ${_fd_out} ) Generieren Sie öffentliche DH-Parameter ( dh_size="2048" ; openssl dhparam -out /etc/nginx/ssl/dhparam${_dh_size}.pem "$_dh_size" ) Öffentliche DH-Parameter anzeigen openssl pkeyparam -in dhparam.pem -text Extrahieren Sie den privaten Schlüssel aus pfx ( _fd_pfx="cert.pfx" ; _fd_key="key.pem" ; openssl pkcs12 -in ${_fd_pfx} -nocerts -nodes -out ${_fd_key} ) Extrahieren Sie den privaten Schlüssel und die Zertifikate aus pfx ( _fd_pfx="cert.pfx" ; _fd_pem="key_certs.pem" ; openssl pkcs12 -in ${_fd_pfx} -nodes -out ${_fd_pem} ) Extrahieren von Zertifikaten aus p7b PKCS#7 file doesn't include private keys. ( _fd_p7b="cert.p7b" ; _fd_pem="cert.pem" ; openssl pkcs7 -inform DER -outform PEM -in ${_fd_p7b} -print_certs > ${_fd_pem}) or: openssl pkcs7 -print_certs -in -in ${_fd_p7b} -out ${_fd_pem}) Konvertieren Sie DER in PEM ( _fd_der="cert.crt" ; _fd_pem="cert.pem" ; openssl x509 -in ${_fd_der} -inform der -outform pem -out ${_fd_pem} ) Konvertieren Sie PEM in DER ( _fd_der="cert.crt" ; _fd_pem="cert.pem" ; openssl x509 -in ${_fd_pem} -outform der -out ${_fd_der} ) Überprüfung des privaten Schlüssels ( _fd="private.key" ; openssl rsa -noout -text -in ${_fd} ) Überprüfung des öffentlichen Schlüssels 1) ( _fd="public.key" ; openssl pkey -noout -text -pubin -in ${_fd} ) 2) ( _fd="private.key" ; openssl rsa -inform PEM -noout -in ${_fd} &amp;&gt; /dev/null ; if [ $? = 0 ] ; then echo -en "OK\n" ; fi ) Überprüfung des Zertifikats ( _fd="certificate.crt" ; # format: pem, cer, crt openssl x509 -noout -text -in ${_fd} ) Überprüfung der CSR ( _fd_csr="request.csr" ; openssl req -text -noout -in ${_fd_csr} ) Überprüfen Sie, ob der private Schlüssel und das Zertifikat übereinstimmen (openssl rsa -noout -modulus -in private.key | openssl md5 ; openssl x509 -noout -modulus -in certificate.crt | openssl md5) | uniq Überprüfen Sie, ob der private Schlüssel und die CSR übereinstimmen (openssl rsa -noout -modulus -in private.key | openssl md5 ; openssl req -noout -modulus -in request.csr | openssl md5) | uniq Werkzeug: Sicheres Löschen Sicheres Löschen mit Schreddern shred -vfuz -n 10 file shred --verbose --random-source=/dev/urandom -n 1 /dev/sda Sicheres Löschen mit Scrub scrub -p dod /dev/sda scrub -p dod -r file Sicheres Löschen mit Badblocks badblocks -s -w -t random -v /dev/sda badblocks -c 10240 -s -w -t random -v /dev/sda Sicheres Löschen mit secure-delete srm -vz /tmp/file sfill -vz /local sdmem -v swapoff /dev/sda5 && sswap -vz /dev/sda5 Werkzeug: dd DD-Status von Zeit zu Zeit anzeigen dd <dd_params> status=progress watch --interval 5 killall -USR1 dd Ausgabe in eine Datei mit dd umleiten echo "string" | dd of=filename Werkzeug: gpg Öffentlichen Schlüssel exportieren gpg --export --armor "" > username.pkey --export - Exportieren Sie alle Schlüssel aus allen Schlüsselbunden oder einem bestimmten Schlüssel -a|--armor - ASCII-gepanzerte Ausgabe erstellen Datei verschlüsseln gpg -e -r "" dump.sql -e|--encrypt - Daten verschlüsseln -r|--recipient - Verschlüsseln für bestimmte Datei entschlüsseln gpg -o dump.sql -d dump.sql.gpg -o|--output - Verwendung als Ausgabedatei -d|--decrypt - Daten entschlüsseln (Standard) Empfänger suchen gpg --keyserver hkp://keyserver.ubuntu.com --search-keys "" --keyserver - Bestimmten Schlüsselserver festlegen --search-keys - Suche nach Schlüsseln auf einem Schlüsselserver Alle Pakete in einer verschlüsselten Datei auflisten gpg --batch --list-packets archive.gpg gpg2 --batch --list-packets archive.gpg Werkzeug: System-Sonstiges System von init neu starten exec /sbin/init 6 Init-System aus dem Einzelbenutzermodus exec /sbin/init Aktuelles Arbeitsverzeichnis eines Prozesses anzeigen readlink -f /proc//cwd Aktuellen Pfadnamen des ausgeführten Befehls anzeigen readlink -f /proc//exe Werkzeug: curl curl -Iks https://www.google.com -I - Nur Antwort-Header anzeigen -k - Unsichere Verbindung bei Verwendung von SSL -s - Silent-Modus (kein Displaykörper) curl -Iks --location -X GET -A "x-agent" https://www.google.com --location - Weiterleitungen folgen -X - set-Methode -A - User-Agent setzen curl -Iks --location -X GET -A "x-agent" --proxy http://127.0.0.1:16379 https://www.google.com --proxy [socks5://|http://] - Proxyserver setzen curl -o file.pdf -C - https://example.com/Aiju2goo0Ja2.pdf -o - Ausgabe in Datei schreiben -C - Setzen Sie die Übertragung fort Finden Sie Ihre externe IP-Adresse (externe Dienste) curl ipinfo.io curl ipinfo.io/ip curl icanhazip.com curl ifconfig.me/ip ; echo URL-Anfrage wiederholen URL sequence substitution with a dummy query string: curl -ks https://example.com/?[1-20] With shell 'for' loop: for i in {1..20} ; do curl -ks https://example.com/ ; done DNS- und HTTP-Trace mit Headern für bestimmte Domains prüfen Set domains and external dns servers. _domain_list=(google.com) ; _dns_list=("8.8.8.8" "1.1.1.1") for _domain in "${_domain_list[@]}" ; do printf '=%.0s' {1..48} echo printf "[\e[1;32m+\e[m] resolve: %s\n" "$_domain" for _dns in "${_dns_list[@]}" ; do

Resolve domain.

host "${_domain}" "${_dns}"

echo done for _proto in http https ; do printf "[\e[1;32m+\e[m] trace + headers: %s://%s\n" "$_proto" "$_domain"

Get trace and http headers.

curl -Iks -A "x-agent" --location "${_proto}://${_domain}"

echo done done unset _domain_list _dns_list Werkzeug: httpie http -p Hh https://www.google.com -p - Drucken von Anforderungs- und Antwortheadern H - Header anfordern B - Anforderungstext h - Antwort-Header b - Antwortkörper http -p Hh https://www.google.com --follow --verify no -F, --follow - Weiterleitungen folgen --verify no - SSL-Überprüfung überspringen http -p Hh https://www.google.com --follow --verify no --proxy http:http://127.0.0.1:16379 --proxy [http:] - Proxyserver setzen Werkzeug: ssh Escape-Sequenz Supported escape sequences: ~. - terminate connection (and any multiplexed sessions) ~B - send a BREAK to the remote system ~C - open a command line ~R - Request rekey (SSH protocol 2 only) ~^Z - suspend ssh ~# - list forwarded connections ~& - background ssh (when waiting for connections to terminate) ~? - this message ~~ - send the escape character by typing it twice Vergleichen einer Remotedatei mit einer lokalen Datei ssh user@host cat /path/to/remotefile | diff /path/to/localfile - SSH-Verbindung über Host in der Mitte ssh -t reachable_host ssh unreachable_host Führen Sie den Befehl über SSH auf dem Remote-Host aus cat > cmd.txt << EOF cat /etc/hosts EOF ssh host -l user $(&lt;cmd.txt) Abrufen des öffentlichen Schlüssels aus dem privaten Schlüssel ssh-keygen -y -f ~/.ssh/id_rsa Holen Sie sich alle Fingerabdrücke ssh-keygen -l -f .ssh/known_hosts SSH-Authentifizierung mit Benutzerpasswort ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no user@remote_host SSH-Authentifizierung mit öffentlichem Schlüssel ssh -o PreferredAuthentications=publickey -o PubkeyAuthentication=yes -i id_rsa user@remote_host Einfache Aufzeichnung von SSH-Sitzungen function _ssh_sesslog() { _sesdir="&lt;path/to/session/logs&gt;" mkdir -p "${_sesdir}" && ssh Misplaced &

$@ 2&gt;&amp;1 | tee -a "$ {_sesdir}/$(date +%Y%m%d).log" } Alias: alias ssh='_ssh_sesslog' Verwenden des Schlüsselbunds für SSH-Anmeldungen Delete all of ssh-agent's keys. function _scl() { /usr/bin/keychain --clear } Add key to keychain. function _scg() { /usr/bin/keychain /path/to/private-key source "$HOME/.keychain/$HOSTNAME-sh" } SSH-Anmeldung ohne Verarbeitung von Anmeldeskripten ssh -tt user@host bash Lokale SSH-Portweiterleitung Beispiel 1: Forwarding our local 2250 port to nmap.org:443 from localhost through localhost host1> ssh -L 2250:nmap.org:443 localhost Connect to the service: host1> curl -Iks --location -X GET https://localhost:2250 Beispiel 2: Forwarding our local 9051 port to db.d.x:5432 from localhost through node.d.y host1> ssh -nNT -L 9051:db.d.x:5432 node.d.y Connect to the service: host1> psql -U db_user -d db_dev -p 9051 -h localhost -n - leitet stdin von /dev/null -N - Führen Sie keinen Remote-Befehl aus -T - Deaktivieren der Pseudo-Terminal-Zuweisung SSH-Remote-Portweiterleitung Forwarding our local 9051 port to db.d.x:5432 from host2 through node.d.y host1> ssh -nNT -R 9051:db.d.x:5432 node.d.y Connect to the service: host2> psql -U postgres -d postgres -p 8000 -h localhost Werkzeug: linux-dev Testen der Remote-Verbindung zum Port timeout 1 bash -c "</dev///" >/dev/null 2>&1 ; echo $? <proto - Protokoll einstellen (TCP/UDP) - Remote-Host festlegen - Zielport festlegen Lesen und Schreiben in TCP- oder UDP-Sockets mit gängigen Bash-Tools exec 5<>/dev/tcp//; cat <&5 & cat >&5; exec 5>&- Werkzeug: tcpdump Filtern Sie eingehenden Datenverkehr (auf der Schnittstelle) (spezifischer ip:port) tcpdump -ne -i eth0 -Q in host 192.168.252.1 and port 443 -n - Adressen nicht konvertieren (Hostnamen oder Ports werden nicht aufgelöst)-nn -e - Drucken Sie die Kopfzeilen auf Linkebene -i [iface|any] - Schnittstelle einstellen -Q|-D [in|out|inout] - Sende-/Empfangsrichtung wählen ( - für alte TCPDUMP-Versionen)-D host [ip|hostname] - set host, auch [host not] [and|or] - Logik einstellen port [1-65535] - Portnummer festlegen, auch [port not] Filtern Sie eingehenden Datenverkehr (auf der Schnittstelle) (spezifischer ip:port) und schreiben Sie in eine Datei tcpdump -ne -i eth0 -Q in host 192.168.252.1 and port 443 -c 5 -w tcpdump.pcap -c [num] - nur die Anzahl der Pakete erfassen -w [filename] - Pakete in Datei schreiben, - aus Datei lesen-r [filename] Erfassen Sie alle ICMP-Pakete tcpdump -nei eth0 icmp Überprüfen Sie das verwendete Protokoll (TCP oder UDP) für den Dienst tcpdump -nei eth0 tcp port 22 -vv -X | egrep "TCP|UDP" ASCII-Text anzeigen (um die Ausgabe mit grep oder anderen zu analysieren) tcpdump -i eth0 -A -s0 port 443 Schnappen Sie sich alles zwischen zwei Schlüsselwörtern tcpdump -i eth0 port 80 -X | sed -n -e '/username/,/=ldap/ p' Schnappen Sie sich den Benutzer und übergeben Sie immer einfaches http tcpdump -i eth0 port http -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20 HTTP-User-Agent aus HTTP-Anforderungsheader extrahieren tcpdump -ei eth0 -nn -A -s1500 -l | grep "User-Agent:" Erfassen Sie nur HTTP GET- und POST-Pakete tcpdump -ei eth0 -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' or 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354' oder einfach: tcpdump -ei eth0 -s 0 -v -n -l | egrep -i "POST /|GET /|Host:" Drehen von Aufnahmedateien tcpdump -ei eth0 -w /tmp/capture-%H.pcap -G 3600 -C 200 -G - pcap wird jede Sekunde erstellt -C - Schließen Sie das aktuelle PCAP und öffnen Sie ein neues, wenn es größer ist als Top-Gastgeber nach Paketen tcpdump -ei enp0s25 -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20 Schließt alle RFC 1918 Privatadressen aus tcpdump -nei eth0 'not (src net (10 or 172.16/12 or 192.168/16) and dst net (10 or 172.16/12 or 192.168/16))' Werkzeug: tcpick Analysieren Sie Pakete in Echtzeit while true ; do tcpick -a -C -r dump.pcap ; sleep 2 ; clear ; done Werkzeug: ngrep ngrep -d eth0 "www.domain.com" port 443 -d [iface|any] - Schnittstelle einstellen [domain] - Hostname setzen port [1-65535] - Portnummer festlegen ngrep -d eth0 "www.domain.com" src host 10.240.20.2 and port 443 (host [ip|hostname]) - Filtern Sie nach IP oder Hostname (port [1-65535]) - Filtern nach Portnummer ngrep -d eth0 -qt -O ngrep.pcap "www.domain.com" port 443 -q - Leiser Modus (nur Nutzlasten) -t - Zeitstempel hinzugefügt -O [filename] - Ausgabe in Datei speichern, - aus Datei lesen-I [filename] ngrep -d eth0 -qt 'HTTP' 'tcp' HTTP - HTTP-Header anzeigen tcp|udp - Protokoll einstellen [src|dst] host [ip|hostname] - Festlegen der Richtung für einen bestimmten Knoten ngrep -l -q -d eth0 -i "User-Agent: curl*" -l - stdout Zeile gepuffert -i - Suche ohne Berücksichtigung der Groß-/Kleinschreibung Werkzeug: hping3 hping3 -V -p 80 -s 5050 <scan_type> www.google.com -V|--verbose - Ausführlicher Modus -p|--destport - Zielport festlegen -s|--baseport - Quellport setzen <scan_type> - Scantyp festlegen -F|--fin - FIN-Flag setzen, Port offen, wenn keine Antwort -S|--syn - SYN-Flag setzen -P|--push - PUSH-Flag setzen -A|--ack - ACK-Flag setzen (verwenden, wenn Ping blockiert ist, RST-Antwort zurück, wenn der Port offen ist) -U|--urg - URG-Flag setzen -Y|--ymas - Y unbenutztes Flag setzen (0x80 - nullscan), Port offen, wenn keine Antwort -M 0 -UPF - TCP-Sequenznummer und Scan-Typ (URG+PUSH+FIN) einstellen, Port offen, wenn keine Antwort hping3 -V -c 1 -1 -C 8 www.google.com -c [num] - Anzahl der Pakete -1 - ICMP-Modus einstellen -C|--icmptype [icmp-num] - ICMP-Typ festlegen (Standard-ICMP-Echo = 8) hping3 -V -c 1000000 -d 120 -S -w 64 -p 80 --flood --rand-source <remote_host> --flood - Pakete so schnell wie möglich gesendet (keine Antworten anzeigen) --rand-source - Modus für zufällige Quelladressen -d --data - Datengröße -w|--win - winsize (Standardwert 64) Werkzeug: nmap Ping scannt das Netzwerk nmap -sP 192.168.0.0/24 Nur offene Ports anzeigen nmap -F --open 192.168.0.0/24 Vollständiger TCP-Port-Scan mit Dienstversionserkennung nmap -p 1-65535 -sV -sS -T4 192.168.0.0/24 Nmap-Scan und Ausgabe an Nikto übergeben nmap -p80,443 192.168.0.0/24 -oG - | nikto.pl -h - Aufklärungsspezifischer ip:service mit Nmap-NSE-Skriptstapel Set variables: _hosts="192.168.250.10" _ports="80,443" Set Nmap NSE scripts stack: _nmap_nse_scripts="+dns-brute, +http-auth-finder, +http-chrono, +http-cookie-flags, +http-cors, +http-cross-domain-policy, +http-csrf, +http-dombased-xss, +http-enum, +http-errors, +http-git, +http-grep, +http-internal-ip-disclosure, +http-jsonp-detection, +http-malware-host, +http-methods, +http-passwd, +http-phpself-xss, +http-php-version, +http-robots.txt, +http-sitemap-generator, +http-shellshock, +http-stored-xss, +http-title, +http-unsafe-output-escaping, +http-useragent-tester, +http-vhosts, +http-waf-detect, +http-waf-fingerprint, +http-xssed, +traceroute-geolocation.nse, +ssl-enum-ciphers, +whois-domain, +whois-ip" Set Nmap NSE script params: _nmap_nse_scripts_args="dns-brute.domain=${_hosts},http-cross-domain-policy.domain-lookup=true," _nmap_nse_scripts_args+="http-waf-detect.aggro,http-waf-detect.detectBodyChanges," _nmap_nse_scripts_args+="http-waf-fingerprint.intensive=1" Perform scan: nmap --script="$_nmap_nse_scripts" --script-args="$_nmap_nse_scripts_args" -p "$_ports" "$_hosts" Werkzeug: netcat nc -kl 5000 -l - auf eine eingehende Verbindung lauschen -k - Abhören, nachdem der Client die Verbindung getrennt hat filename.out - Empfangsdaten in Datei speichern (optional) nc 192.168.0.1 5051 < filename.in < filename.in - Daten an Remote-Host senden nc -vz 10.240.30.3 5000 -v - ausführliche Ausgabe -z - Suche nach lauschenden Daemons nc -vzu 10.240.30.3 1-65535 -u - Nur UDP-Ports scannen Datendatei übertragen (Archiv) server> nc -l 5000 | tar xzvfp - client> tar czvfp - /path/to/dir | nc 10.240.30.3 5000 Remote-Shell starten 1) server> nc -l 5000 -e /bin/bash client> nc 10.240.30.3 5000 2) server> rm -f /tmp/f; mkfifo /tmp/f server> cat /tmp/f | /bin/bash -i 2>&1 | nc -l 127.0.0.1 5000 > /tmp/f client> nc 10.240.30.3 5000 Einfacher Dateiserver while true ; do nc -l 5000 | tar -xvf - ; done Einfacher minimaler HTTP-Server while true ; do nc -l -p 1500 -c 'echo -e "HTTP/1.1 200 OK\n\n $(date)"' ; done Einfacher HTTP-Server Startet den Webserver nach jeder Anfrage neu - Bedingung für nur eine Verbindung entfernen.while cat > index.html << EOF <!doctype html> <title></title>

Hello! It's a site.

__EOF__ server> while : ; do \ (echo -ne "HTTP/1.1 200 OK\r\nContent-Length: $(wc -c if [[ $# != 2 ]] ; then printf "%s\n" "usage: ./nc-proxy listen-port bk_host:bk_port" fi _listen_port="$1" _bk_host=$(echo "$2" | cut -d ":" -f1) _bk_port=$(echo "$2" | cut -d ":" -f2) printf " lport: %s\nbk_host: %s\nbk_port: %s\n\n" "$_listen_port" "$_bk_host" "$_bk_port" _tmp=$(mktemp -d) _back="$_tmp/pipe.back" _sent="$_tmp/pipe.sent" _recv="$_tmp/pipe.recv" trap 'rm -rf "$_tmp"' EXIT mkfifo -m 0600 "$_back" "$_sent" "$_recv" sed "s/^/=> /" <"$_sent" & sed "s/^/<= /" <"$_recv" & nc -l -p "$_listen_port" <"$_back" | tee "$_sent" | nc "$_bk_host" "$_bk_port" | tee "$_recv" >"$_back" server> chmod +x nc-proxy && ./nc-proxy 8080 192.168.252.10:8000 lport: 8080 bk_host: 192.168.252.10 bk_port: 8000 client> http -p h 10.240.30.3:8080 HTTP/1.1 200 OK Accept-Ranges: bytes Cache-Control: max-age=31536000 Content-Length: 2748 Content-Type: text/html; charset=utf-8 Date: Sun, 01 Jul 2018 20:12:08 GMT Last-Modified: Sun, 01 Apr 2018 21:53:37 GMT Erstellen eines TCP- oder UDP-Proxys zur einmaligen Verwendung TCP -> TCP nc -l -p 2000 -c "nc [ip|hostname] 3000" TCP -> UDP nc -l -p 2000 -c "nc -u [ip|hostname] 3000" UDP -> UDP nc -l -u -p 2000 -c "nc -u [ip|hostname] 3000" UDP -> TCP nc -l -u -p 2000 -c "nc [ip|hostname] 3000" Werkzeug: gnutls-cli Testen der Verbindung zum Remote-Host (mit SNI-Unterstützung) gnutls-cli -p 443 google.com Testen der Verbindung zum Remote-Host (ohne SNI-Unterstützung) gnutls-cli --disable-sni -p 443 google.com Werkzeug: socat Testen der Remote-Verbindung zum Port socat - TCP4:10.240.30.3:22 Standard-Eingang (STDIO) TCP4: - TCP4-Verbindung mit bestimmten Parametern setzen [hostname|ip] - Legen Sie den Hostnamen/die IP fest [1-65535] - Portnummer festlegen Umleiten des TCP-Datenverkehrs an einen UNIX-Domain-Socket unter Linux socat TCP-LISTEN:1234,bind=127.0.0.1,reuseaddr,fork,su=nobody,range=127.0.0.0/8 UNIX-CLIENT:/tmp/foo TCP-LISTEN: - TCP-Listen mit bestimmten Parametern festlegen [1-65535] - Portnummer festlegen bind=[hostname|ip] - Legen Sie Bind Hostname/IP fest reuseaddr - ermöglicht es anderen Sockets, sich an eine Adresse zu binden fork - hält den übergeordneten Prozess dazu an, mehr Verbindungen herzustellen su=nobody - Benutzer festlegen range=[ip-range] - IP-Bereich UNIX-CLIENT: - kommuniziert mit dem angegebenen Peer-Socket filename - Socket definieren Werkzeug: p0f Legen Sie iface in den Promiscuous-Modus und geben Sie den Datenverkehr in die Protokolldatei aus p0f -i enp0s25 -p -d -o /dump/enp0s25.log -i - Hören Sie auf der angegebenen Schnittstelle -p - Schnittstelle in Promiscuous-Modus versetzen -d - Fork in den Hintergrund -o - Ausgabedatei Werkzeug: netstat Diagramm # der Verbindungen für jeden Host netstat -an | awk '/ESTABLISHED/ { split( Missing superscript or subscript argument

$5,ip,":"); if (ip[1] !~ /^$ /) print ip[1] }' | sort | uniq -c | awk '{ printf("%s\t%s\t",$2,$1) ; for (i = 0; i < $1; i++) {printf("")}; print "" }' Überwachen Sie offene Verbindungen für einen bestimmten Port, einschließlich Listen, Zählen und Sortieren pro IP watch "netstat -plan | grep :443 | awk {'print $5'} | cut -d: -f 1 | sort | uniq -c | sort -nk 1" Abrufen von Bannern von lokalen IPv4-Listening-Ports netstat -nlt | grep 'tcp ' | grep -Eo "[1-9][0-9]" | xargs -I {} sh -c "echo "" | nc -v -n -w1 127.0.0.1 {}" Werkzeug: rsync Rsync-Remotedaten als root mit sudo rsync --rsync-path 'sudo rsync' username@hostname:/path/to/dir/ /local/ Werkzeug: Host Löst den Domänennamen auf (mit externem DNS-Server) host google.com 9.9.9.9 Überprüft den Domänenadministrator (SOA-Eintrag) host -t soa google.com 9.9.9.9 Werkzeug: dig Löst den Domainnamen auf (kurze Ausgabe) dig google.com +short NS-Eintrag für bestimmte Domäne nachschlagen dig @9.9.9.9 google.com NS Abschnitt "Nur Abfrageantwort" dig google.com +nocomments +noquestion +noauthority +noadditional +nostats Abfragen ALLER DNS-Einträge dig google.com ANY +noall +answer DNS-Reverse-Lookup dig -x 172.217.16.14 +short Werkzeug: certbot Multidomain-Zertifikat generieren certbot certonly -d example.com -d www.example.com Generieren eines Platzhalterzertifikats certbot certonly --manual --preferred-challenges=dns -d example.com -d .example.com Zertifikat mit privatem 4096-Bit-Schlüssel generieren certbot certonly -d example.com -d www.example.com --rsa-key-size 4096 Werkzeug: network-other Abrufen aller Subnetze für ein bestimmtes AS (Autonomes System) AS="AS32934" whois -h whois.radb.net -- "-i origin ${AS}" | grep "^route:" | cut -d ":" -f2 | sed -e 's/^[ \t]//' | sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4 | cut -d ":" -f2 | sed -e 's/^[ \t]/allow /' | sed 's/$/;/' | sed 's/allow /subnet -> /g' Löst Domainnamen aus dns.google.com mit curl und jq auf _dname="google.com" ; curl -s "https://dns.google.com/resolve?name=${_dname}&type=A" | jq . Werkzeug: git Log-Alias für eine gute Ansicht Ihres Repositorys 1) git log --oneline --decorate --graph --all 2) git log --graph --pretty=format:'%Cred%h%Creset -%C(yellow)%d%Creset %s %Cgreen(%cr) %C(bold blue)<%an>%Creset' --abbrev-commit Werkzeug: python Statischer HTTP-Webserver Python 3.x python3 -m http.server 8000 --bind 127.0.0.1 Python 2.x python -m SimpleHTTPServer 8000 Statischer HTTP-Webserver mit SSL-Unterstützung Python 3.x from http.server import HTTPServer, BaseHTTPRequestHandler import ssl httpd = HTTPServer(('localhost', 4443), BaseHTTPRequestHandler) httpd.socket = ssl.wrap_socket (httpd.socket, keyfile="path/to/key.pem", certfile='path/to/cert.pem', server_side=True) httpd.serve_forever() Python 2.x import BaseHTTPServer, SimpleHTTPServer import ssl httpd = BaseHTTPServer.HTTPServer(('localhost', 4443), SimpleHTTPServer.SimpleHTTPRequestHandler) httpd.socket = ssl.wrap_socket (httpd.socket, keyfile="path/tp/key.pem", certfile='path/to/cert.pem', server_side=True) httpd.serve_forever() Base64 kodieren python -m base64 -e <<< "sample string" Base64 dekodieren python -m base64 -d <<< "dGhpcyBpcyBlbmNvZGVkCg==" Werkzeug: awk Suche nach passenden Zeilen egrep foo awk '/foo/' filename Suche nach nicht übereinstimmenden Zeilen egrep -v foo awk '!/foo/' filename Drucken Sie übereinstimmende Zeilen mit Zahlen egrep -n foo awk '/foo/{print FNR,$0}' filename Drucken der letzten Spalte awk '{print $NF}' filename Finden Sie alle Zeilen, die länger als 80 Zeichen sind awk 'length($0)>80{print FNR,$0}' filename Drucken Sie nur Zeilen mit weniger als 80 Zeichen awk 'length < 80' filename Drucken Sie doppelte neue Zeilen pro Datei awk '1; { print "" }' filename Zeilennummern drucken awk '{ print FNR "\t" $0 }' filename awk '{ printf("%5d : %s\n", NR, $0) }' filename # in a fancy manner Drucken von Zeilennummern nur für nicht leere Zeilen awk 'NF { $0=++a " :" $0 }; { print }' filename Drucken Sie die Zeile und die nächsten beiden Zeilen (i=5) nach der Zeile, die dem regulären Ausdruck entspricht awk '/foo/{i=5+1;}{if(i){i--; print;}}' filename Drucken Sie die Zeilen, beginnend mit der Zeile, die mit 'server {' übereinstimmt, bis zur Zeile, die mit '}' übereinstimmt. awk '/server {/,/}/' filename Drucken mehrerer Spalten mit Trennzeichen awk -F' ' '{print "ip:\t" $2 "\n port:\t" $3' filename Leerzeilen entfernen awk 'NF > 0' filename alternative: awk NF filename Löschen Sie nachgestellte Leerzeichen (Leerzeichen, Tabulatoren) awk '{sub(/[ \t]$/, "");print}' filename Führenden Leerraum löschen awk '{sub(/^[ \t]+/, ""); print}' filename Entfernen Sie doppelte aufeinanderfolgende Zeilen uniq awk 'a !~ $0{print}; {a=$0}' filename Doppelte Einträge in einer Datei ohne Sortierung entfernen awk '!x[$0]++' filename Mehrere Spalten ausschließen awk '{$1=$3=""}1' filename Ersetzen Sie foo durch Balken in Zeilen, die dem regulären Ausdruck entsprechen awk '/regexp/{gsub(/foo/, "bar")};{print}' filename Fügen Sie einige Zeichen am Anfang übereinstimmender Zeilen hinzu awk '/regexp/{sub(/^/, "++++"); print;next;}{print}' filename Abrufen der Apache-Protokolle der letzten Stunde awk '/'$(date -d "1 hours ago" "+%d/%b/%Y:%H:%M")'/,/'$(date "+%d/%b/%Y:%H:%M")'/ { print $0 }' /var/log/httpd/access_log Werkzeug: sed Drucken einer bestimmten Zeile aus einer Datei sed -n 10p /path/to/file Entfernen einer bestimmten Zeile aus einer Datei sed -i 10d /path/to/file alternative (BSD): sed -i'' 10d /path/to/file Entfernen eines Zeilenbereichs aus einer Datei sed -i -re ',d' Zeilenumbruch(e) durch ein Leerzeichen ersetzen sed ':a;N;$!ba;s/\n/ /g' /path/to/file cross-platform compatible syntax: sed -e ':a' -e 'N' -e '$!ba' -e 's/\n/ /g' /path/to/file :a Erstellen eines Etiketts a N Hängen Sie die nächste Zeile an den Musterbereich an $! Wenn nicht die letzte Zeile, BA-Zweigbezeichnung (Gehe zu) a s Ersetzen Sie Regex durch eine neue Zeile durch ein Leerzeichen, globale Übereinstimmung (so oft wie möglich)/\n// //g Alternativen: perl version (sed-like speed): perl -p -e 's/\n/ /' /path/to/file bash version (slow): while read line ; do printf "%s" "$line " ; done < file Zeichenfolge löschen +N nächste Zeilen sed '/start/,+4d' /path/to/file Werkzeug: grep Suche nach einem "Muster" in allen Dateien im aktuellen Verzeichnis grep -rn "pattern" grep -RnisI "pattern" * fgrep "pattern" * -R Nur für mehrere Muster anzeigen grep 'INFO'''WARN' filename grep 'INFO|WARN' filename grep -e INFO -e WARN filename grep -E '(INFO|WARN)' filename egrep "INFO|WARN" filename Außer mehreren Mustern grep -vE '(error|critical|warning)' filename Daten aus Datei ohne Kommentare anzeigen grep -v ^[[:space:]]# filename Daten aus Datei ohne Kommentare und neue Zeilen anzeigen egrep -v '#|^$' filename Zeichenfolgen mit einem Bindestrich anzeigen grep -e -- filename grep -- -- filename grep "--" filename Entfernen Sie Leerzeilen aus einer Datei und speichern Sie die Ausgabe in einer neuen Datei grep . filename > newfilename Werkzeug: perl Suchen und Ersetzen (an Ort und Stelle) perl -i -pe's/SEARCH/REPLACE/' filename Bearbeiten von Dateien, die alle foo in bar ändern (und das Original sichern).conf perl -p -i.orig -e 's/\bfoo\b/bar/g' .conf Druckt die ersten 20 Zeilen aus Dateien.conf perl -pe 'exit if ööß/ .. /^bar$/' filename Reduzieren Sie mehrere Leerzeilen auf eine einzige Zeile perl -p -i -00pe0 filename Tabulatoren in Leerzeichen umwandeln (1t = 2sp) perl -p -i -e 's/\t/ /g' filename Lesen Sie Eingaben aus einer Datei und melden Sie die Anzahl der Zeilen und Zeichen perl -lne '$i++; $in += length($_); END { print "$i lines, $in characters"; }' filename Muschel-Tricks [Inhaltsverzeichnis] Wenn Sie eine Schale bekommen, ist sie im Allgemeinen nicht sehr sauber, aber nachdem Sie diese Schritte befolgt haben, haben Sie eine ziemlich saubere und komfortable Schale, mit der Sie arbeiten können. script /dev/null -c bash Strg-Z (um es in den Hintergrund zu senden) stty raw -echo; fg (bringt die Shell in den Vordergrund zurück) reset (zum Zurücksetzen der Klemme) xterm (wenn nach dem Terminaltyp gefragt) export TERM=xterm; export SHELL=bash Shell-Funktionen [Inhaltsverzeichnis] Table of Contents Domain resolve Get ASN Domain resolve Dependencies:

  • curl
  • jq function DomainResolve() { local _host="$1" local _curl_base="curl --request GET" local _timeout="15" _host_ip=$($_curl_base -ks -m "$_timeout" "https://dns.google.com/resolve?name=${_host}&type=A" | jq '.Answer[0].data' | tr -d """ 2>/dev/null) if [[ -z "$_host_ip" ]] || [[ "$_host_ip" == "null" ]] ; then echo -en "Unsuccessful domain name resolution.\n" else echo -en "$_host > $_host_ip\n" fi } Example: shell> DomainResolve nmap.org nmap.org > 45.33.49.119 shell> DomainResolve nmap.org Unsuccessful domain name resolution. Abrufen von ASN Dependencies:
  • curl function GetASN() { local _ip="$1" local _curl_base="curl --request GET" local _timeout="15" _asn=$($_curl_base -ks -m "$_timeout" "http://ip-api.com/line/${_ip}?fields=as") _state=$(echo $?) if [[ -z "$_ip" ]] || [[ "$_ip" == "null" ]] || [[ "$_state" -ne 0 ]]; then echo -en "Unsuccessful ASN gathering.\n" else echo -en "$_ip > $_asn\n" fi } Beispiel: shell> GetASN 1.1.1.1 1.1.1.1 > AS13335 Cloudflare, Inc. shell> GetASN 0.0.0.0 Unsuccessful ASN gathering. Wie man ein Hacker wird @Eric Steven Raymond Thyrsus Unternehmen esr@thyrsus.com Copyright © 2001 Eric S. Raymond Versionsgeschichte Revision 1.52 03. Januar 2020 esr Go macht sich einen Platz als plausible Lernsprache, und verdrängt Java. Revision 1.51 06. Oktober 2017 esr Link zu "Dinge, die jeder Hacker einmal wusste". USB-Stick erwähnen Distributionen. Viele aktualisierte Übersetzungslinks. Revision 1.50 19. Juli 2015 esr Link zu "Let's Go Larval" hinzugefügt. Revision 1.49 21. November 2014 esr Link zu "How To Learn Hacking" hinzugefügt. Revision 1.48 19. Juni 2014 esr freshmeat/freecode ist leider tot. Revision 1.47 20. Mai 2014 esr Reparieren Sie verschiedene veraltete Links. Treten Sie einem Hackerspace bei! Revision 1.46 25. September 2013 esr Mikropatronage-Erklärung und Gittip-Link hinzufügen. Warum Sie mich nicht um Rat fragen sollten, wie Sie anfangen sollen. Revision 1.45 12. Mai 2013 esr Open Solaris ist es nicht, und Unity hat das Hündchen. Revision 1.44 20. Mai 2012 esr Die Kritik an Java wurde aktualisiert. Revision 1.43 07. Februar 2011 esr Python hat Perl 2010 in der Popularität überholt. Revision 1.42 22 Okt 2010 esr "Historische Notiz" hinzugefügt. Revision 1.40 3. November 2008 esr Link-Korrekturen. Revision 1.39 14. August 2008 esr Link-Korrekturen. Revision 1.38 8. Januar 2008 esr Verwerfen Sie Java als Sprache, die Sie früh lernen sollten. Revision 1.37 4 Okt 2007 esr Empfehlen Sie Ubuntu als Unix-Distribution für Neulinge. Inhaltsverzeichnis Warum dieses Dokument? Was ist ein Hacker? Die Hacker-Haltung
  1. Die Welt ist voller faszinierender Probleme, die darauf warten, gelöst zu werden.
  2. Kein Problem sollte jemals zweimal gelöst werden müssen.
  3. Langeweile und Plackerei sind böse.
  4. Freiheit ist gut.
  5. Haltung ist kein Ersatz für Kompetenz. Grundlegende Hacking-Fähigkeiten
  6. Lernen Sie, wie man programmiert.
  7. Holen Sie sich eines der Open-Source-Unixe und lernen Sie, es zu verwenden und auszuführen.
  8. Lernen Sie, wie Sie das World Wide Web nutzen und HTML schreiben.
  9. Wenn Sie kein funktionierendes Englisch haben, lernen Sie es. Status in der Hackerkultur
  10. Schreiben Sie Open-Source-Software
  11. Helfen Sie beim Testen und Debuggen von Open-Source-Software
  12. Veröffentlichen Sie nützliche Informationen
  13. Helfen Sie, die Infrastruktur am Laufen zu halten
  14. Dienen Sie der Hackerkultur selbst Die Hacker/Nerd-Verbindung Punkte für Stil Historische Anmerkung: Hacking, Open Source, und Freie Software Weitere Ressourcen Häufig gestellte Fragen Warum dieses Dokument? Als Herausgeber des Jargon Datei und Autor einiger anderer bekannter Dokumente ähnlicher Art Von Natur aus bekomme ich oft E-Mail-Anfragen von begeisterten Netzwerk-Neulingen die Frage (im Grunde): "Wie kann ich lernen, ein magischer Hacker zu sein?". Zurück in 1996 bemerkte ich, dass es anscheinend keine anderen FAQs oder Web Dokumente, die sich mit dieser wichtigen Frage befassten, also begann ich mit diesem Eins. Viele Hacker halten es jetzt für endgültig, und ich Nehmen wir an, das bedeutet, dass es so ist. Trotzdem behaupte ich nicht, der Exklusive zu sein Autorität zu diesem Thema; Wenn Ihnen nicht gefällt, was Sie hier lesen, schreiben Sie Ihre eigene. Wenn Sie einen Schnappschuss dieses Dokuments offline lesen, wird die Die aktuelle Version befindet sich unter http://catb.org/~esr/faqs/hacker-howto.html. Hinweis: Es gibt eine Liste der häufig gestellten Fragen am Ende dieses Dokuments. Bitte lesen diese – zweimal – bevor sie mir Fragen dazu schickten Dokument. Zahlreiche Übersetzungen dieses Dokuments sind verfügbar: Arabisch, Weißrussisch, Bulgarisch, Chinesisch, Tschechisch. Dänisch, Niederländisch, Estnisch, Französisch, Deutsch, Griechisch, Ungarisch, Italienisch, Hebräisch, Japanisch, Litauisch, Norwegisch, Persisch, Polnisch, Portugiesisch (Brasilianisch), Rumänisch, Spanisch, Türkisch, und Schwedisch. Beachten Sie, dass dieses Dokument gelegentlich geändert wird und sie möglicherweise nicht in unterschiedlichem Maße datieren. Das Fünf-Punkte-in-neun-Quadrate-Diagramm, das dies schmückt Dokument wird als Gleiter bezeichnet. Es ist eine einfache Muster mit einigen überraschenden Eigenschaften in einer mathematischen Simulation namens Life, das Hacker seit vielen Jahren fasziniert. Ich denke, es macht eine gute visuelles Emblem dafür, wie Hacker sind – abstrakt, zunächst ein etwas mysteriös anmutend, aber ein Tor zu einer ganzen Welt mit einem komplizierte Logik für sich. Lesen Sie hier mehr über das Segelflugzeug-Emblem. Wenn Sie dieses Dokument wertvoll finden, unterstützen Sie mich bitte auf Patreon oder SubscribeStar. Und Erwägen Sie auch, andere Hacker zu unterstützen, die Code erstellt haben, den Sie Nutzung und Wertschöpfung über Loadsharer. Mengen kleinen, aber kontinuierlichen Spenden summieren sich schnell und können die Menschen, die Ihnen ihre Arbeit geschenkt haben, um mehr zu schaffen Wert. Was ist ein Hacker? Der Jargon Die Datei enthält eine Reihe von Definitionen des Begriffs "Hacker", die meisten haben mit technischem Geschick und Freude am Lösen zu tun Probleme und die Überwindung von Grenzen. Wenn Sie jedoch wissen wollen, wie man ein Hacker wird, sind nur zwei wirklich einschlägig. Es gibt eine Gemeinschaft, eine gemeinsame Kultur von erfahrenen Programmierern und Netzwerkassistenten, die ihre Geschichte über Jahrzehnte zurückverfolgen die ersten Time-Sharing-Minicomputer und das früheste ARPAnet Experimente. Die Mitglieder dieser Kultur haben den Begriff "Hacker". Hacker haben das Internet gebaut. Hacker machten die Unix-Betriebssystem, was es heute ist. Hacker machen die Welt Webarbeit. Wenn Sie Teil dieser Kultur sind, wenn Sie dazu beigetragen haben, Es und andere Leute darin wissen, wer Sie sind, und nennen Sie einen Hacker, Sie sind ein Hacker. Die Hacker-Mentalität ist nicht auf diesen Software-Hacker beschränkt Kultur. Es gibt Leute, die die Hacker-Haltung auf andere anwenden Dinge wie Elektronik oder Musik – eigentlich findet man es bei das höchste Niveau jeder Wissenschaft oder Kunst. Software-Hacker erkennen diese verwandten Seelen anderswo und dürfen sie auch "Hacker" – und einige behaupten, dass der Hacker Die Natur ist wirklich unabhängig von dem jeweiligen Medium, mit dem der Hacker arbeitet in. Im weiteren Verlauf dieses Dokuments konzentrieren wir uns jedoch auf die Fähigkeiten und Einstellungen von Software-Hackern und die Traditionen der Kultur, die den Begriff "Hacker" hervorgebracht hat. Es gibt noch eine andere Gruppe von Menschen, die sich laut selbst nennen Hacker, sind es aber nicht. Dies sind Menschen (hauptsächlich jugendliche Männer), die Genieße es, in Computer einzubrechen und das Telefon zu phreaken System. Echte Hacker nennen diese Leute "Cracker" und will nichts mit ihnen zu tun haben. Echte Hacker denken meistens, dass Cracker faul, verantwortungslos und nicht sehr klug, und dagegen zu protestieren, dass Sicherheit zu knacken macht Sie nicht mehr zu einem Hacker, als wenn Sie in der Lage sind, Autos zu verdrahten, macht Sie zu einem Automobilingenieur. Leider haben viele Journalisten und Schriftsteller wurden dazu verleitet, das Wort "Hacker", um Cracker zu beschreiben; Das irritiert echte Hacker Kein Ende. Der grundlegende Unterschied ist folgender: Hacker bauen Dinge, Cracker Brechen Sie sie. Wenn Sie ein Hacker sein wollen, lesen Sie weiter. Wenn du ein Cracker sein willst, Lesen Sie die alt.2600 Newsgroup und erhalten Sie Bereit, fünf bis zehn im Slammer zu machen, nachdem du herausgefunden hast, dass du nicht so gut bist Schlau, wie du denkst, dass du bist. Und das ist alles, worüber ich sagen werde Kekse. Die Hacker-Haltung
  15. Die Welt ist voller faszinierender Probleme, die darauf warten, gelöst zu werden.
  16. Kein Problem sollte jemals zweimal gelöst werden müssen.
  17. Langeweile und Plackerei sind böse.
  18. Freiheit ist gut.
  19. Haltung ist kein Ersatz für Kompetenz. Hacker lösen Probleme und bauen Dinge, und sie glauben an Freiheit und freiwillige gegenseitige Hilfe. Um als Hacker akzeptiert zu werden, müssen Sie Verhalte dich so, als hättest du selbst diese Art von Einstellung. Und um Verhalten Sie sich so, als hätten Sie die Einstellung, Sie müssen wirklich an die Einstellung. Aber wenn Sie die Hacker-Haltung nur als einen Weg betrachten Um Akzeptanz in der Kultur zu erlangen, werden Sie das Wesentliche verfehlen. Kleidsam die Art von Person, die glaubt, dass diese Dinge für Sie wichtig sind – um Ihnen beim Lernen zu helfen und Sie zu halten motiviert. Wie bei allen kreativen Künsten ist der effektivste Weg, um Ein Meister zu werden bedeutet, die Denkweise von Meistern nachzuahmen – nicht nur intellektuell, aber auch emotional. Oder, wie es in dem folgenden modernen Zen-Gedicht heißt: Um dem Weg zu folgen: Schau auf den Meister, folge dem Meister, gehe mit dem Meister, durchschaue den Meister, werde der Meister. Wenn Sie also ein Hacker sein wollen, wiederholen Sie die folgenden Dinge, bis Sie glauben ihnen:
  20. Die Welt ist voller faszinierender Probleme, die darauf warten, gelöst zu werden. Ein Hacker zu sein macht viel Spaß, aber es ist eine Art Spaß, der viel Aufwand. Die Anstrengung erfordert Motivation. Erfolgreiche Sportler erhalten ihre Motivation aus einer Art körperlicher Freude, ihre Körper performen, indem sie sich über ihre eigenen körperlichen Grenzen hinaus bewegen. Um ein Hacker zu sein, muss man einen grundlegenden Nervenkitzel beim Lösen bekommen Probleme zu lösen, Ihre Fähigkeiten zu schärfen und Ihre Intelligenz. Wenn Sie nicht die Art von Person sind, die sich von Natur aus so fühlt, werden Sie man muss einer werden, um es als Hacker zu schaffen. Andernfalls werden Sie Finden Sie, dass Ihre Hacking-Energie durch Ablenkungen wie Sex, Geld und gesellschaftliche Anerkennung. (Man muss auch eine Art Vertrauen in das eigene Lernen entwickeln Fähigkeit – ein Glaube, dass, auch wenn Sie vielleicht nicht alles wissen, was Sie ein Problem lösen müssen, wenn Sie nur einen Teil davon angehen und lernen Daraus lernst du genug, um das nächste Stück zu lösen – und so weiter, bis Sie fertig sind.)
  21. Kein Problem sollte jemals zweimal gelöst werden müssen. Kreative Gehirne sind eine wertvolle, begrenzte Ressource. Das sollten sie nicht sein verschwendet damit, das Rad neu zu erfinden, wenn es so viele faszinierende neue Probleme, die da draußen warten. Um sich wie ein Hacker zu verhalten, muss man glauben, dass die Bedenkzeit von Andere Hacker sind wertvoll – so sehr, dass es fast eine moralische Pflicht ist damit Sie Informationen austauschen, Probleme lösen und dann die Lösungen weg, nur damit andere Hacker neue Probleme lösen können, anstatt sich ständig mit alten befassen zu müssen. Beachten Sie jedoch, dass "kein Problem jemals gelöst werden muss zweimal." bedeutet nicht, dass Sie alle vorhandenen Lösungen heilig sind oder dass es nur eine richtige Lösung für jede gegebenes Problem. Oft lernen wir viel über das Problem, das wir nicht gelernt haben vorher wissen, indem Sie den ersten Schnitt an einer Lösung studieren. Es ist in Ordnung, und oft notwendig, um zu entscheiden, dass wir es besser machen können. Was nicht in Ordnung ist, ist künstliche technische, rechtliche oder institutionelle Barrieren (wie Closed-Source-Code), die verhindern, dass eine gute Lösung wiederverwendet wird und zwingen die Menschen, Räder neu zu erfinden. (Sie müssen nicht glauben, dass Sie verpflichtet sind, Ihr gesamtes kreatives Produkt zu verschenken, obwohl die Hacker, die dies tun, sind diejenigen, die von anderen Hackern am meisten respektiert werden. Es entspricht den Werten von Hackern, genug davon zu verkaufen, um Sie im Spiel zu halten Essen und Miete und Computer. Es ist in Ordnung, Ihre Hacking-Fähigkeiten zu nutzen, um eine Familie zu ernähren oder sogar reich zu werden, solange man seine Loyalität zu deiner Kunst und deinen Hackerkollegen dabei.)
  22. Langeweile und Plackerei sind böse. Hacker (und kreative Menschen im Allgemeinen) sollten sich niemals langweilen oder sich an dummer, sich wiederholender Arbeit zu quälen, denn wenn das passiert, bedeutet, dass sie nicht das tun, was nur sie können – neue Probleme lösen. Diese Verschwendung schadet allen. Daher sind Langeweile und Plackerei nicht nur unangenehm, sondern tatsächlich böse. Um sich wie ein Hacker zu verhalten, muss man das genug glauben, um es zu wollen Automatisieren Sie die Bohrbohrer so weit wie möglich, nicht nur für für sich selbst, sondern für alle anderen (insbesondere andere Hacker). (Es gibt eine scheinbare Ausnahme. Hacker werden manchmal Dinge tun, die einem Beobachter repetitiv oder langweilig erscheinen mögen als Übung zur Bewusstseinsklärung oder um eine Fähigkeit zu erwerben oder eine bestimmte Art von Erfahrung, die man sonst nicht machen kann. Aber diese ist freiwillig – niemand, der denken kann, sollte jemals zu einem Situation, die sie langweilt.)
  23. Freiheit ist gut. Hacker sind von Natur aus antiautoritär. Jeder, der Ihnen geben kann Bestellungen können Sie davon abhalten, das Problem zu lösen, das Sie gerade haben fasziniert von – und angesichts der Art und Weise, wie autoritäre Köpfe arbeiten, im Allgemeinen einen entsetzlich dummen Grund dafür finden. Die autoritäre Haltung muss bekämpft werden, wo immer man sie findet, damit es erstickt Sie und andere Hacker. (Das ist nicht dasselbe wie gegen jede Autorität zu kämpfen. Kinder müssen geführt und Kriminelle gezügelt. Ein Hacker kann zustimmen, einige zu akzeptieren Arten von Autorität, um etwas zu bekommen, das er mehr will als die Zeit, die er damit verbringt, Befehle zu befolgen. Aber das ist eine begrenzte, bewusste Gelegenheitskauf; Die Art von persönlicher Kapitulation, die Autoritäre wollen, ist nicht möglich Angebot.) Autoritäre Menschen leben von Zensur und Geheimhaltung. Und sie der freiwilligen Zusammenarbeit und dem Informationsaustausch misstrauen – nur wie "Kooperation", die sie kontrollieren. So zu verhalten Wie ein Hacker muss man eine instinktive Feindseligkeit gegen Zensur, Geheimhaltung und die Anwendung von Gewalt oder Täuschung, um verantwortungsbewusste Erwachsene. Und man muss bereit sein, darauf zu reagieren Glaube.
  24. Haltung ist kein Ersatz für Kompetenz. Um ein Hacker zu sein, muss man einige dieser Einstellungen entwickeln. Aber Eine Einstellung allein zu bewältigen, wird Sie nicht zu einem Hacker machen, genauso wenig wie es wird Sie zu einem Spitzensportler oder einem Rockstar machen. Hacker werden erfordert Intelligenz, Übung, Hingabe und harte Arbeit. Deshalb muss man lernen, der Einstellung und dem Respekt zu misstrauen Kompetenz jeder Art. Hacker lassen nicht zu, dass Poser ihre Zeit verschwenden, Aber sie verehren Kompetenz – besonders die Kompetenz im Hacken, aber Kompetenz in allem wird geschätzt. Kompetenz bei anspruchsvollen Fähigkeiten, die nur wenige beherrschen können, ist besonders gut, und Kompetenz bei anspruchsvollen Fähigkeiten die geistige Schärfe, Geschick und Konzentration erfordern, ist am besten. Wenn du Kompetenz verehrst, wirst du sie gerne in dir selbst entwickeln – wird die harte Arbeit und Hingabe zu einer Art intensivem Spiel statt Plackerei. Diese Einstellung ist entscheidend, um ein Hacker. Grundlegende Hacking-Fähigkeiten
  25. Lernen Sie, wie man programmiert.
  26. Holen Sie sich eines der Open-Source-Unixe und lernen Sie, es zu verwenden und auszuführen.
  27. Lernen Sie, wie Sie das World Wide Web nutzen und HTML schreiben.
  28. Wenn Sie kein funktionierendes Englisch haben, lernen Sie es. Die Hacker-Einstellung ist von entscheidender Bedeutung, aber Fähigkeiten sind noch wichtiger. Haltung ist kein Ersatz für Kompetenz, und es gibt eine gewisse Grundhaltung Toolkit von Fähigkeiten, die Sie haben müssen, bevor ein Hacker träumt Sie einen zu nennen. Dieses Toolkit ändert sich im Laufe der Zeit langsam, da die Technologie neue Fähigkeiten schafft und macht alte obsolet. Früher gehörte zum Beispiel die Programmierung in Maschinensprache und beinhaltete bis vor kurzem kein HTML. Aber Im Moment enthält es ziemlich eindeutig Folgendes:
  29. Lernen Sie, wie man programmiert. Dies ist natürlich die grundlegende Hacking-Fähigkeit. Wenn Sie dies nicht tun Computersprachen beherrschen, empfehle ich, mit Python zu beginnen. Es ist sauber gestaltet, gut dokumentiert und relativ anfängerfreundlich. Obwohl es eine gute Muttersprache ist, ist es nicht nur ein Spielzeug; Es ist sehr leistungsstark und flexibel und gut geeignet für große Projekte. Ich habe eine detailliertere Bewertung der Python. Gute Tutorials sind verfügbar bei Python Website; es gibt einen ausgezeichneten Drittanbieter bei Computer Science Kreise. Früher habe ich Java als eine gute Sprache empfohlen, die man früh lernen sollte, aber das hier Kritik hat meine Meinung geändert (suche nach "Die Fallstricke der Java als erste Programmiersprache" enthalten). Ein Hacker kann nicht, wie sie es verheerend ausdrücken, "Problemlösungen angehen wie ein Klempner in einem Baumarkt"; Sie müssen wissen, was die Komponenten tun dies tatsächlich. Jetzt denke ich, dass es so ist wahrscheinlich ist es am besten, zuerst C und Lisp zu lernen, dann Java. Hier gibt es vielleicht einen allgemeineren Punkt. Wenn eine Sprache dies auch tut Für Sie kann es gleichzeitig ein gutes Werkzeug für die Produktion und eine schlechte zum Lernen. Es sind nicht nur Sprachen, die dies haben Problem; Webanwendungs-Frameworks wie RubyOnRails, CakePHP, Django kann es zu einfach machen, zu einem oberflächlichen Verständnis zu gelangen, das werden Sie ohne Ressourcen zurücklassen, wenn Sie eine schwierige oder debuggen Sie einfach nur die Lösung für ein einfaches. Eine bessere Alternative zu Java ist das Erlernen von Go. Diese relativ neue Sprache ist ziemlich einfach von Python zu wechseln, und wenn Sie es lernen, erhalten Sie eine ernsthafte Vorsprung auf den möglichen nächsten Schritt, nämlich das Erlernen von C. Eine der Unbekannten in den nächsten Jahren ist, inwieweit Go könnte C als Systemprogrammiersprache tatsächlich verdrängen. Es gibt eine mögliche Zukunft, in der dies über einen Großteil der traditionellen Bereich. Wenn Sie ernsthaft programmieren, müssen Sie irgendwann C, die Kernsprache von Unix, lernen. C++ ist sehr eng mit C verwandt; Wenn Sie das eine kennen, wird es nicht schwierig sein, das andere zu lernen. Weder Sprache ist jedoch eine gute Sprache, die Sie als erstes lernen sollten. Und Je mehr Sie das Programmieren in C vermeiden können, desto produktiver Sie werden es sein. C ist sehr effizient und schont die Betriebsmittel. Leider erhält C diese Effizienz, indem es von Ihnen verlangt, Führen Sie eine Menge Low-Level-Verwaltung von Ressourcen (wie Speicher) von Hand durch. All dieser Low-Level-Code ist komplex und fehleranfällig und saugt sich auf einen großen Teil Ihrer Zeit für das Debuggen. Mit den heutigen Maschinen als So mächtig sie auch sind, ist dies normalerweise ein schlechter Kompromiss – es ist klüger eine Sprache zu verwenden, die die Zeit der Maschine weniger effizient nutzt, aber Ihre Zeit viel effizienter. Daher Python. Andere Sprachen, die für Hacker besonders wichtig sind, sind Perl und LISP. Perl ist es wert Lernen aus praktischen Gründen; Es ist sehr weit verbreitet für aktives Web Seiten und Systemadministration, so dass auch wenn Sie nie Perl schreiben Sie sollten lernen, es zu lesen. Viele Leute verwenden Perl auf die Art und Weise, wie ich schlagen vor, dass Sie Python verwenden sollten, um die C-Programmierung für Jobs zu vermeiden, die benötigen nicht die Maschineneffizienz von C. Sie müssen in der Lage sein, um ihren Code zu verstehen. LISP ist es aus einem anderen Grund wert, gelernt zu werden – dem tiefgreifende Erleuchtungserfahrung, die ihr haben werdet, wenn ihr endlich es. Diese Erfahrung wird Sie zu einem besseren Programmierer für den Rest der Welt machen. Ihre Tage, auch wenn Sie LISP selbst nie oft verwenden. (Sie können Sammeln Sie relativ einfach erste Erfahrungen mit LISP, indem Sie schreiben und Ändern der Bearbeitungsmodi für den Emacs-Texteditor oder Script-Fu Plugins für GIMP.) Es ist eigentlich am besten, alle fünf von Python, C/C++, Perl und LISP. Abgesehen davon, dass es sich um die wichtigsten Hacking-Sprachen handelt, Sie repräsentieren sehr unterschiedliche Programmieransätze, und jeder wird bilden Sie auf wertvolle Weise weiter. Go ist nicht ganz so weit, dass es zu den wichtigsten Hacking-Sprachen gezählt werden, aber scheint auf diesen Status zuzusteuern. Aber seien Sie sich bewusst, dass Sie nicht das Qualifikationsniveau eines Hackers erreichen oder Selbst wenn man nur ein Programmierer ist, indem man einfach Sprachen anhäuft — müssen lernen, wie man über Programmierprobleme im Allgemeinen nachdenkt unabhängig von einer Sprache. Um ein echter Hacker zu sein, brauchen Sie an den Punkt zu gelangen, an dem Sie in wenigen Tagen eine neue Sprache lernen können, indem Sie Beziehen Sie das, was im Handbuch steht, auf das, was Sie bereits wissen. Das bedeutet, dass Sie sollten mehrere sehr unterschiedliche Sprachen lernen. Ich kann keine vollständigen Anweisungen zum Programmieren geben Hier ist es eine komplexe Fähigkeit. Aber ich kann Ihnen sagen, dass Bücher und Kurse werden es nicht tun – viele, vielleicht die meisten der besten Hacker sind Autodidakten. Sie können Sprachfunktionen erlernen – Teile von Wissen – aus Büchern, sondern die Denkweise, die dieses Wissen ausmacht in lebendige Fertigkeiten können nur durch Übung und Lehrzeit erlernt werden. Was es tun wird, ist (a) Code zu lesen und (b) Code zu schreiben. Peter Norvig, einer der Top-Hacker von Google und der Co-Autor des am weitesten verbreiteten Lehrbuchs über KI, hat einen ausgezeichneter Aufsatz mit dem Titel Teach Yourself Programming in Zehn Jahre. Sein "Rezept für Programmiererfolg" ist es wert sorgfältige Aufmerksamkeit. Programmieren zu lernen ist wie zu lernen, gute natürliche Sprache zu schreiben. Der beste Weg, dies zu tun, ist, einige Dinge zu lesen, die von Meistern der Form, schreiben Sie einige Dinge selbst, lesen Sie viel mehr, schreiben Sie ein wenig mehr, viel mehr lesen, noch mehr schreiben ... und wiederholen Sie den Vorgang, bis Ihr Das Schreiben beginnt, die Art von Kraft und Ökonomie zu entwickeln, die man in Ihre Modelle. Ich habe mehr über diesen Lernprozess in How To Learn Hacking zu sagen. Es ist ein Einfache Anleitung, aber keine einfache. Früher war es schwierig, guten Code zum Lesen zu finden, weil es nur wenige gab große Programme, die im Quellcode für flügge gewordene Hacker zum Lesen und basteln. Dies hat sich dramatisch geändert; Open-Source-Software, Programmierwerkzeuge und Betriebssysteme (alle von Hackern entwickelt) jetzt weit verbreitet. Was mich zu unserem nächsten Thema bringt...
  30. Holen Sie sich eines der Open-Source-Unixe und lernen Sie, es zu verwenden und auszuführen. Ich gehe davon aus, dass Sie einen PC haben oder Zugang zu Eins. (Nehmen Sie sich einen Moment Zeit, um zu verstehen, wie viel das bedeutet. Der Hacker Die Kultur entwickelte sich ursprünglich, als Computer so teuer waren, dass Einzelpersonen konnten sie nicht besitzen.) Der wichtigste Schritt Neulinge können Hacker-Fähigkeiten erwerben, indem sie sich eine Kopie von Linux oder eines der BSD-Unixe, installieren Sie es auf einem persönlichen Rechner und führen Sie es aus. Ja, es gibt noch andere Betriebssysteme auf der Welt Unix. Aber sie sind binär verteilt – man kann die Code, und Sie können ihn nicht ändern. Versuchen zu lernen, wie man auf einem Microsoft hackt Windows-Computer oder unter einem anderen Closed-Source-System ist wie der Versuch, um tanzen zu lernen, während man einen Gips trägt. Unter Mac OS X ist es möglich, aber nur ein Teil des Systems ist geöffnet Quelle – Sie werden wahrscheinlich gegen viele Wände stoßen, und Sie müssen es sein Achten Sie darauf, nicht die schlechte Angewohnheit zu entwickeln, sich auf Apples proprietärer Code. Wenn Sie sich auf das Unix unter der Haube konzentrieren Sie können einige nützliche Dinge lernen. Unix ist das Betriebssystem des Internets. Während Sie können lernen, das Internet zu benutzen, ohne Unix zu kennen, können Sie kein Internet-Hacker ohne Unix-Verständnis. Aus diesem Grund hat der Hacker Kultur ist heute ziemlich stark Unix-zentriert. (Das war nicht immer der Fall stimmt, und einige alte Hacker sind immer noch nicht glücklich darüber, aber die Die Symbiose zwischen Unix und dem Internet ist so stark geworden, dass selbst Microsofts Muskeln scheinen nicht in der Lage zu sein, es ernsthaft zu verbeulen.) Also, bringen Sie ein Unix – ich mag Linux selbst, aber es gibt noch andere (und ja, Sie können sowohl Linux als auch Microsoft Windows auf demselben Computer). Lernen Sie es. Führen Sie es aus. Basteln Sie daran. Sprechen Sie damit mit dem Internet. Lesen Sie den Code. Ändern Sie den Code. Sie erhalten bessere Programmierwerkzeuge (einschließlich C, LISP, Python und Perl), von dem jedes Microsoft-Betriebssystem träumen kann, werden Sie Haben Sie Spaß, und Sie werden mehr Wissen aufsaugen, als Sie denken, Lernen, bis Sie als Meisterhacker darauf zurückblicken. Weitere Informationen zum Erlernen von Unix finden Sie unter The Loginataka. Sie könnten auch mal einen Blick auf die Kunst der Unix-Programmierung. Der Blog Let's Geh Larval! ist ein Fenster zum Lernprozess eines neuen Linux-Benutzer, den ich für ungewöhnlich klar und hilfsbereit halte. The post Wie I Learned Linux ist ein guter Ausgangspunkt. Um ein Linux in die Hände zu bekommen, besuchen Sie die Linux Online!-Website; Sie können von dort herunterladen oder (bessere Idee) eine lokale Linux-Benutzergruppe finden, um helfen Ihnen bei der Installation. In den ersten zehn Jahren dieses HOWTOs berichtete ich, dass aus Sicht eines neuen Benutzers sind alle Linux-Distributionen fast äquivalent. Aber in den Jahren 2006-2007 tauchte eine tatsächlich beste Wahl auf: Ubuntu. Während andere Distributionen ihren eigenen Stärken ist Ubuntu bei weitem der für Linux-Neulinge zugänglich. Hüten Sie sich jedoch vor den abscheulichen und nahezu unbrauchbare "Unity"-Desktop-Oberfläche, die Ubuntu als Zahlungsausfall ein paar Jahre später; die Xubuntu- oder Kubuntu-Varianten sind besser. Hilfe und Ressourcen zu BSD Unix finden Sie unter www.bsd.org. Eine gute Möglichkeit, Ihre Zehen ins Wasser zu tauchen, besteht darin, Linux-Fans rufen live an CD, eine Distribution, die vollständig von einer CD oder einem USB-Stick läuft ohne Ihre Festplatte modifizieren zu müssen. Dies kann langsam sein, weil CDs sind langsam, aber es ist eine Möglichkeit, einen Blick auf die Möglichkeiten zu werfen ohne etwas Drastisches tun zu müssen. Ich habe eine Einführung in die Grundlagen geschrieben von Unix und dem Internet. Früher habe ich davon abgeraten, Linux oder BSD als Solo-Projekt, wenn Sie ein Neuling sind. Heutzutage sind die Installateure gut genug, dass es möglich ist, es ganz alleine zu tun, selbst für eine Neuling. Trotzdem empfehle ich dennoch, Kontakt mit Ihrem lokalen Linux-Benutzergruppe und bittet um Hilfe. Es kann nicht schaden, und kann den Prozess erleichtern.
  31. Lernen Sie, wie Sie das World Wide Web nutzen und HTML schreiben. Die meisten Dinge, die die Hackerkultur aufgebaut hat, tun ihre Arbeit außer Sichtweite, half beim Betrieb von Fabriken, Büros und Universitäten ohne offensichtliche Auswirkungen auf das Leben von Nicht-Hackern. Das Web ist die Eine große Ausnahme, das riesige, glänzende Hackerspielzeug, von dem selbst Politiker zugeben, dass es die Welt verändert hat. Für Allein aus diesem Grund (und vielen anderen guten) müssen Sie lernen, wie man im Web arbeitet. Das bedeutet nicht nur, zu lernen, wie man einen Browser steuert (jeder kann das), sondern zu lernen, wie man HTML schreibt, die Auszeichnungssprache des Webs. Wenn Sie nicht programmieren können, wird Ihnen das Schreiben von HTML einige beibringen mentale Gewohnheiten, die Ihnen beim Lernen helfen. Erstellen Sie also eine Homepage. Aber nur eine Homepage zu haben, ist nicht annähernd gut genug, um machen Sie zu einem Hacker. Das Web ist voll von Homepages. Die meisten von ihnen sind sinnloser, inhaltsfreier Schlamm – sehr schick aussehender Schlamm, wohlgemerkt du, aber trotzdem schlammen (mehr dazu siehe Die HTML-Hölle Seite). Um lohnenswert zu sein, muss Ihre Seite Inhalt haben – sie muss interessant und/oder nützlich sein an andere Hacker. Und das bringt uns zum nächsten Thema...
  32. Wenn Sie kein funktionierendes Englisch haben, lernen Sie es. Als Amerikaner und englischer Muttersprachler habe ich bisher gezögert, dies vorzuschlagen, damit es nicht als eine Art des Kulturimperialismus. Aber mehrere Muttersprachler anderer Sprachen haben mich dazu gedrängt, darauf hinzuweisen, dass Englisch die Sprache der Hackerkultur und des Internets, und dass Sie muss es wissen, um in der Hacker-Community zu funktionieren. Um 1991 herum erfuhr ich, dass viele Hacker, die Englisch als eine zweite Sprache verwenden es in technischen Diskussionen, auch wenn sie eine Geburtszunge; wurde mir damals berichtet, dass Englisch eine reicheres technisches Vokabular als jede andere Sprache und ist daher einfach ein besseres Werkzeug für den Job. Aus ähnlichen Gründen können Übersetzungen von Fachbüchern, die in englischer Sprache verfasst sind, sind oft unbefriedigend (wenn sie werden überhaupt erledigt). Linus Torvalds, ein Finne, kommentiert seinen Code auf Englisch (it anscheinend kam er nie auf die Idee, etwas anderes zu tun). Seine Sprachgewandtheit auf Englisch war ein wichtiger Faktor für seine Fähigkeit, eine weltweite Community von Entwicklern für Linux. Es ist ein Beispiel, das es wert ist, Folgende. Ein englischer Muttersprachler zu sein, garantiert nicht, dass Sie Sprachkenntnisse, die gut genug sind, um als Hacker zu funktionieren. Wenn Ihr Schreiben ist halbgebildet, ungrammatikalisch und mit Rechtschreibfehlern gespickt, Viele Hacker (einschließlich mir) werden dazu neigen, Sie zu ignorieren. Während schlampig Schreiben bedeutet nicht ausnahmslos schlampiges Denken, wir haben im Allgemeinen fanden die Korrelation stark – und wir haben keine Verwendung für schlampige Denker. Wenn Sie noch nicht kompetent schreiben können, lernen Sie es. Status in der Hackerkultur
  33. Schreiben Sie Open-Source-Software
  34. Helfen Sie beim Testen und Debuggen von Open-Source-Software
  35. Veröffentlichen Sie nützliche Informationen
  36. Helfen Sie, die Infrastruktur am Laufen zu halten
  37. Dienen Sie der Hackerkultur selbst Wie die meisten Kulturen ohne Geldwirtschaft läuft das Hackertum auf Ruf. Sie versuchen, interessante Probleme zu lösen, aber wie interessant sind, und ob Ihre Lösungen wirklich gut sind, ist etwas, das normalerweise nur Ihre technischen Kollegen oder Vorgesetzten sind Ausgestattet zum Urteilen. Wenn Sie das Hacker-Spiel spielen, lernen Sie dementsprechend, Punkten Sie in erster Linie danach, was andere Hacker über Ihre Fähigkeiten denken (deshalb Sie sind nicht wirklich ein Hacker, bis andere Hacker Sie ständig anrufen eins). Diese Tatsache wird durch das Bild des Hackens als einsame Arbeit verschleiert; auch durch ein Hacker-kulturelles Tabu (das seit den späten 1990er Jahre, aber immer noch stark) gegen das Eingeständnis, dass das Ego oder die Validierung ist überhaupt an der Motivation beteiligt. Konkret ist Hackertum das, was Anthropologen ein Geschenk nennen Kultur. Sie gewinnen Status und Ansehen darin, nicht durch Dominanz andere Menschen, noch dadurch, dass sie schön sind, noch dadurch, dass sie andere Dinge haben die Menschen wollen, sondern indem sie Dinge verschenken. Insbesondere durch Ihre Zeit, Ihre Kreativität und die Ergebnisse Ihrer Fertigkeit. Es gibt im Grunde fünf Arten von Dingen, die Sie tun können, um respektiert zu werden hacker:
  38. Schreiben Sie Open-Source-Software Die erste (die zentralste und traditionellste) ist das Schreiben Programme, die andere Hacker für lustig oder nützlich halten, und geben dem Programmquellen an die gesamte Hackerkultur zu verwenden. (Früher nannten wir diese Werke "freie Software", aber diese verwirrte zu viele Leute, die sich nicht genau sicher waren, was "kostenlos" ist soll bedeuten. Die meisten von uns bevorzugen mittlerweile den Begriff "Open-Source" Software). Die am meisten verehrten Halbgötter des Hackertums sind Menschen, die große, leistungsfähige Programme, die einem weit verbreiteten Bedarf entsprachen und sie verschenkten, dass sie jetzt jeder benutzt. Aber hier gibt es einen kleinen feinen historischen Punkt. Während Hacker haben immer zu den Open-Source-Entwicklern unter ihnen aufgeschaut als härtester Kern unserer Community, vor Mitte der 1990er Jahre die meisten Hacker Die meiste Zeit habe ich mit Closed Source gearbeitet. Das galt noch, als ich schrieb die erste Version dieses HOWTO im Jahr 1996; es brauchte die Mainstreaming von Open-Source-Software nach 1997, um die Dinge zu ändern. Heute sind "die Hacker-Community" und "Open-Source-Entwickler" zwei Beschreibungen für die im Wesentlichen gleiche Kultur und Bevölkerung – aber es sei daran erinnert, dass dies nicht immer der Fall war. Also. (Weitere Informationen hierzu finden Sie im Abschnitt "Historische Anmerkung: Hacking, Open Source, und Freie Software".)
  39. Helfen Sie beim Testen und Debuggen von Open-Source-Software Sie dienen auch denen, die Open-Source-Software stehen und debuggen. In In dieser unvollkommenen Welt werden wir unweigerlich den größten Teil unserer Software Entwicklungszeit in der Debugging-Phase. Deshalb ist jede Open-Source-Lösung Autoren, die nachdenken, werden Ihnen sagen, dass gute Beta-Tester (die wie man Symptome klar beschreibt, Probleme gut lokalisiert, tolerieren kann Bugs in einem Quickie-Release und sind bereit, ein paar einfache Diagnoseroutinen) sind ihr Gewicht in Rubinen wert. Sogar einer der Diese können den Unterschied zwischen einer Debugging-Phase ausmachen, die eine langwieriger, anstrengender Albtraum und einer, der nur ein heilsamer ist Ärgernis. Wenn Sie ein Neuling sind, versuchen Sie, ein Programm in der Entwicklung zu finden, das Du bist interessiert und ein guter Beta-Tester. Es gibt eine natürliche von der Unterstützung beim Testen von Programmen zur Unterstützung beim Debuggen helfen, sie zu modifizieren. Auf diese Weise lernen Sie viel und generieren gutes Karma mit Menschen, die dir später helfen werden.
  40. Veröffentlichen Sie nützliche Informationen Eine weitere gute Sache ist es, nützliche und interessante Informationen in Webseiten oder Dokumente wie Listen mit häufig gestellten Fragen (FAQ) und erstellen Sie diese allgemein verfügbar. Betreuer wichtiger technischer FAQs erhalten fast so viel Respekt wie Open-Source-Autoren.
  41. Helfen Sie, die Infrastruktur am Laufen zu halten Die Hackerkultur (und die technische Entwicklung der Internet) wird von Freiwilligen betrieben. Es gibt eine Menge notwendige, aber unglamouröse Arbeit, die getan werden muss, um sie zu erhalten Going — Mailinglisten verwalten, Newsgroups moderieren, Pflege großer Software-Archiv-Sites, Entwicklung von RFCs und anderen technischen Standards. Leute, die so etwas gut machen, bekommen viel Respekt, weil Jeder weiß, dass diese Jobs enorme Zeitfresser sind und nicht so viel Spaß machen wie mit Code spielen. Sie zu tun, zeigt Hingabe.
  42. Dienen Sie der Hackerkultur selbst Schließlich können Sie die Kultur selbst bedienen und verbreiten (indem Sie Beispiel, eine genaue Einführung zu schreiben, wie man ein Hacker wird :-)). Dies ist nicht etwas, wozu Sie in der Lage sind, bis Sie und wurde für eine der ersten vier Dinge. Die Hackerkultur hat keine Anführer, genau, aber sie hat Kulturhelden und Stammesälteste und Historiker und Sprecher. Wenn Sie lange genug in den Schützengräben waren, können Sie zu einem der diese. Vorsicht: Hacker misstrauen dem unverhohlenen Ego ihrer Stammesältesten, Es ist also gefährlich, sichtbar nach dieser Art von Ruhm zu greifen. Anstatt wenn man danach strebt, muss man sich irgendwie so positionieren, dass es und dann bescheiden und liebenswürdig mit Ihrem Status umgehen. Die Hacker/Nerd-Verbindung Entgegen dem landläufigen Mythos muss man kein Nerd sein, um ein Hacker. Es hilft jedoch, und viele Hacker sind tatsächlich Nerds. So etwas wie ein sozialer Außenseiter zu sein, hilft Ihnen, sich auf die wirklich wichtige Dinge, wie Denken und Hacken. Aus diesem Grund haben viele Hacker das Label übernommen "Geek" als Abzeichen des Stolzes – es ist eine Art, ihre Unabhängigkeit von normalen gesellschaftlichen Erwartungen (sowie eine Vorliebe für andere Dinge wie Science-Fiction und Strategiespiele, die gehen oft damit einher, ein Hacker zu sein). Früher wurde der Begriff "Nerd" verwendet In den 1990er Jahren, als "Nerd" noch ein mildes Abwertungs- und "Geek" eine etwas härtere; irgendwann nach 2000 tauschten sie die Plätze, zumindest in der US-amerikanischen Populärkultur, und es gibt jetzt sogar eine signifikante Geek-Pride-Kultur unter Leuten, die keine Technikfreaks sind. Wenn Sie es schaffen, sich genug auf das Hacken zu konzentrieren, um gut darin zu sein und trotzdem ein Leben haben, das ist in Ordnung. Das ist heute viel einfacher als es war, als ich in den 1970er Jahren ein Neuling war; Mainstream-Kultur ist viel jetzt freundlicher zu Techno-Nerds. Es gibt sogar eine wachsende Zahl von Menschen, die erkennen, dass Hacker oft hochwertige Liebhaber und Ehegattenmaterial. Wenn Sie sich zum Hacken hingezogen fühlen, weil Sie kein Leben haben, das ist auch in Ordnung – zumindest werden Sie keine Konzentrationsprobleme haben. Vielleicht Sie werden später ein Leben bekommen. Punkte für Stil Auch hier gilt: Um ein Hacker zu sein, muss man sich in die Hacker-Mentalität versetzen. Dort sind einige Dinge, die Sie tun können, wenn Sie nicht an einem Computer sitzen, die Hilfe. Sie sind kein Ersatz für Hacking (nichts ist es), aber viele Hacker machen sie und haben das Gefühl, dass sie auf eine grundlegende Weise miteinander verbunden sind mit der Essenz des Hackens. Lernen Sie, Ihre Muttersprache gut zu schreiben. Obwohl Es ist ein weit verbreitetes Klischee, dass Programmierer nicht schreiben können, ein überraschend viele Hacker (darunter die versiertesten die, die ich kenne) sind sehr fähige Schriftsteller. Lesen Sie Science-Fiction. Zu Science-Fiction Conventions (eine gute Möglichkeit, Hacker und Proto-Hacker zu treffen). Treten Sie einem Hackerspace bei und machen Sie Dinge (eine weitere gute Möglichkeit, Hacker und Proto-Hacker zu treffen). Trainieren Sie in einer Kampfsportform. Die Art der mentalen Disziplin, die für Kampfkünste erforderlich ist, scheint in Wichtige Wege zu dem, was Hacker tun. Die beliebtesten Formen unter Hacker sind definitiv asiatische Künste mit leeren Händen wie Tae Kwon Do, verschiedene Formen von Karate, Kung Fu, Aikido oder Ju Jitsu. Westlich Fechten und asiatische Schwertkünste haben ebenfalls sichtbare Anhänger. In Orte, an denen es legal ist, hat das Pistolenschießen zugenommen Popularität seit den späten 1990er Jahren. Die hackerhaftesten Kampfkünste sind solche, die mentale Disziplin, entspanntes Bewusstsein, und präzise Kontrolle, anstatt rohe Kraft, Athletik oder Physis Zähigkeit. Studieren Sie eine tatsächliche Meditationsdisziplin. Die Staude Favorit unter Hackern ist Zen (wichtig ist, dass es möglich ist, vom Zen profitieren, ohne eine Religion zu erwerben oder abzulegen Sie haben es bereits). Andere Stile können auch funktionieren, aber seien Sie vorsichtig eine zu wählen, bei der man nicht verrückt glauben muss Dinge. Entwickeln Sie ein analytisches Ohr für Musik. Lernen Sie besondere Arten von Musik schätzen. Lernen Sie, etwas Musical zu spielen Instrument gut, oder wie man singt. Entwickeln Sie Ihre Wertschätzung für Wortspiele und Wortspiel. Je mehr dieser Dinge Sie bereits tun, desto wahrscheinlicher ist es, dass Sie sind natürliches Hackermaterial. Warum gerade diese Dinge nicht völlig klar, aber sie sind mit einer Mischung aus Links- und Fähigkeiten der rechten Gehirnhälfte, die wichtig zu sein scheinen; Hacker müssen in der Lage sein, sowohl logisch zu argumentieren als auch aus dem Offensichtlichen herauszutreten Logik eines Problems im Handumdrehen. Arbeite so intensiv, wie du spielst, und spiele so intensiv, wie du arbeitest. Für echte Hacker sind die Grenzen zwischen "Spiel", "Arbeit", "Wissenschaft" und "Kunst" neigen dazu, zu verschwinden oder zu einem kreativen Munterkeit. Geben Sie sich auch nicht mit einem engen Spektrum an Fähigkeiten zufrieden. Obwohl sich die meisten Hacker selbst als Programmierer bezeichnen, sind sie sehr wahrscheinlich in mehreren verwandten Fertigkeiten mehr als kompetent zu sein — System Administration, Webdesign und PC-Hardware-Fehlerbehebung sind üblich einsen. Ein Hacker, der ein Systemadministrator ist, hingegen Wahrscheinlich ziemlich geschickt in Skriptprogrammierung und Webdesign. Hacker machen keine halben Sachen; wenn sie überhaupt in eine Fähigkeit investieren, sie neigen dazu, sehr gut darin zu werden. Zum Schluss noch ein paar Dinge, die Sie nicht tun. Verwenden Sie keine alberne, grandiose Benutzer-ID oder einen Bildschirmnamen. Lassen Sie sich nicht auf Flame Wars im Usenet (oder anderswo) ein. sonst). Nennen Sie sich nicht "Cyberpunk" und verschwenden Sie keine Ihre Zeit für jeden, der es tut. Posten oder mailen Sie keine Schreibweise, die voller Rechtschreibung ist Fehler und schlechte Grammatik. Der einzige Ruf, den Sie sich bei all diesen Dingen verdienen werden, ist der eines Dussel. Hacker haben ein langes Gedächtnis – es kann Jahre dauern, bis Sie leben deine frühen Fehler sind so weit heruntergekommen, dass du akzeptiert wirst. Das Problem mit Bildschirmnamen oder Handles verdient etwas Verstärkung. Das Verbergen Ihrer Identität hinter einem Griff ist ein Jugendlicher und albernes Verhalten, das für Cracker, Warez D00DZ und andere charakteristisch ist niedere Lebensformen. Hacker tun dies nicht; sie sind stolz auf das, was sie tun und wollen, dass es mit ihren richtigen Namen in Verbindung gebracht wird. Wenn Sie also einen Griff haben, lassen Sie ihn fallen. In der Hackerkultur wird es nur Markiere dich als Verlierer. Historische Anmerkung: Hacking, Open Source, und Freie Software Als ich diese Anleitung Ende 1996 schrieb, waren einige der Die Bedingungen um ihn herum waren ganz anders als heute. Ein paar Worte zu diesen Änderungen mögen helfen, die Dinge für die Menschen zu klären die über das Verhältnis von Open Source, Free Software und Linux für die Hacker-Community. Wenn Sie nicht neugierig sind können Sie direkt zu den FAQ und der Bibliographie von hier. Das Hacker-Ethos und die Community, wie ich es hier schon lange beschrieben habe vor dem Aufkommen von Linux nach 1990; Ich habe mich zum ersten Mal engagiert mit ihm um 1976, und seine Wurzeln lassen sich leicht bis in die Anfang der 1960er Jahre. Aber vor Linux wurde das meiste Hacken auf beiden Seiten durchgeführt proprietäre Betriebssysteme oder eine Handvoll quasi-experimenteller selbst entwickelte Systeme wie das ITS des MIT, die nie außerhalb von ihre ursprünglichen akademischen Nischen. Während es früher einige gegeben hatte (vor Linux) versuchten, diese Situation zu ändern, waren ihre Auswirkungen am besten sehr marginal und auf Gemeinschaften von engagierten wahren Gläubige, die selbst innerhalb der Hacker-Community winzige Minderheiten waren, geschweige denn in Bezug auf die größere Welt der Software in Allgemein. Was heute als "Open Source" bezeichnet wird, reicht bis zum Hacker zurück Gemeinschaft tut es, aber bis 1985 war es eine unbenannte Volkspraxis als eine bewusste Bewegung mit Theorien und Manifesten, die damit verbunden sind. Diese Vorgeschichte endete, als 1985 der Erzhacker Richard Stallman ("RMS") versuchte, ihm einen Namen zu geben – "freie Software". Aber seine Handlung des Benennens war auch ein Akt des Anspruchs; Er hängte ideologisches Gepäck an auf das Etikett "Freie Software", das ein Großteil der bestehenden Hacker Gemeinschaft nie akzeptiert. Infolgedessen wurde das Label "Freie Software" von einer beträchtlichen Minderheit der Hacker-Community lautstark abgelehnt (insbesondere bei denen, die mit BSD Unix verbunden sind) und mit ernsthafte, aber stillschweigende Vorbehalte der Mehrheit der übrigen (einschließlich mir). Trotz dieser Vorbehalte ist der Anspruch von RMS, die Hacker-Community unter dem Banner "Freie Software" Mitte der 1990er Jahre. Es wurde erst durch den Aufstieg von Linux ernsthaft in Frage gestellt. Linux gab der Open-Source-Entwicklung ein natürliches Zuhause. Viele Projekte veröffentlicht unter Bedingungen, die wir jetzt als Open-Source-migriert von proprietäre Unixe zu Linux. Die Community rund um Linux wuchs explosiv und viel größer und heterogener als die Prä-Linux-Hacker-Kultur. RMS versuchte entschlossen, alle zu vereinnahmen diese Aktivität in seine "Freie-Software"-Bewegung, wurde aber durch sowohl die explodierende Vielfalt der Linux-Community als auch der Öffentlichkeit Skepsis gegenüber seinem Gründer, Linus Torvalds. Torvalds verwendete weiterhin den Begriff "Freie Software" mangels Alternative, aber öffentlich das ideologische Gepäck der RMS zurückgewiesen. Viele jüngere Hacker folgten Anzug. Als ich 1996 zum ersten Mal dieses Hacker-HOWTO veröffentlichte, wurde der Hacker -Community schnell um Linux und eine Handvoll anderer Open-Source-Betriebssysteme (insbesondere solche, die von BSD Unix). Gemeinschaftliche Erinnerung an die Tatsache, dass die meisten von uns Jahrzehnte damit verbracht hatten, Entwicklung von Closed-Source-Software auf Closed-Source-Betriebssystemen noch nicht zu verblassen begonnen hatte, aber diese Tatsache schien bereits wie ein Teil einer toten Vergangenheit; Hacker definierten zunehmend sich selbst als Hacker durch ihre Anhänge an Open-Source-Projekte wie Linux oder Apache. Der Begriff "Open Source" war jedoch noch nicht aufgetaucht; es würde nicht vor Anfang 1998. Als dies der Fall war, wurde der größte Teil der Hackergemeinde sie innerhalb der folgenden sechs Monate angenommen hat; Ausnahmen waren ein Minderheit, die ideologisch mit dem Begriff "Freie Software" verbunden ist. Seit 1998 und insbesondere nach etwa 2003 die Identifizierung von "Hacking" mit "Open-Source- (und Freie-Software-) Entwicklung" extrem nah. Heute hat es wenig Sinn, zu versuchen, zwischen diesen Kategorien unterscheiden, und es scheint unwahrscheinlich, dass Wandel in der Zukunft. Es lohnt sich jedoch, sich daran zu erinnern, dass dies nicht immer so war. Weitere Ressourcen Paul Graham hat einen Essay mit dem Titel Great Hackers geschrieben, und ein anderer über Undergraduation, worin er viel Weisheit spricht. Jüngere Hacker könnten Things Every finden Hacker Once Knew interessant und nützlich. Ich habe auch A geschrieben Kurze Geschichte des Hackertums. Ich habe eine Abhandlung geschrieben, The Cathedral und der Basar, der viel darüber erklärt, wie die Linux und Open-Source-Kulturen funktionieren. Ich habe dieses Thema sogar angesprochen direkter in der Fortsetzung Homesteading die Noosphäre. Rick Moen hat ein ausgezeichnetes Dokument darüber geschrieben, wie man eine Linux-Benutzergruppe. Rick Moen und ich haben an einem weiteren Dokument über How Kluge Fragen zu stellen. Dies wird Ihnen helfen, Hilfe zu suchen auf eine Weise, die es wahrscheinlicher macht, dass Sie es tatsächlich bekommen. Wenn Sie eine Einweisung in die Grundlagen benötigen, wie PCs, Unix und das Internet funktionieren, siehe The Unix and Internet Fundamentals HOWTO. Wenn Sie Software veröffentlichen oder Patches für Software schreiben, versuchen Sie, Befolgen Sie die Richtlinien im Software Release Practice HOWTO. Wenn Ihnen das Zen-Gedicht gefallen hat, gefällt Ihnen vielleicht auch Rootless Root: The Unix Koans of Meister Foo. Häufig gestellte Fragen F: Woran erkenne ich, ob ich bereits ein Hacker bin? F: Bringen Sie mir bei, wie man hackt? F: Wie kann ich dann anfangen? F: Wann müssen Sie anfangen? Ist es zu spät für mich, um zu lernen? F: Wie lange brauche ich, um Hacken zu lernen? F: Ist Visual Basic eine gute Sprache für den Anfang? F: Würden Sie mir helfen, ein System zu knacken, oder mir beibringen, wie man knackt? F: Wie erhalte ich das Passwort für das Konto einer anderen Person? F: Wie kann ich in die E-Mails einer anderen Person eindringen/diese lesen/überwachen? F: Wie kann ich Channel-Op-Privilegien im IRC stehlen? F: Ich bin geknackt. Helfen Sie mir, weitere Angriffe abzuwehren? F: Ich habe Probleme mit meiner Windows-Software. Werden Sie mir helfen? F: Wo finde ich echte Hacker, mit denen ich sprechen kann? F: Können Sie nützliche Bücher über Hacking-bezogene Themen empfehlen? F: Muss ich gut in Mathe sein, um Hacker zu werden? F: Welche Sprache sollte ich zuerst lernen? F: Welche Art von Hardware benötige ich? F: Ich möchte einen Beitrag leisten. Können Sie mir helfen, ein Problem auszuwählen, an dem ich arbeiten kann? F: Muss ich Microsoft hassen und verprügeln? F: Aber wird Open-Source-Software Programmierer nicht dazu bringen, ihren Lebensunterhalt zu bestreiten? F: Wo bekomme ich ein kostenloses Unix? Frage: Woran erkenne ich, ob ich bereits ein Hacker bin? Antwort: Stellen Sie sich die folgenden drei Fragen: Sprechen Sie fließend Code? Identifizieren Sie sich mit den Zielen und Werten der Hacker-Community? Hat ein etabliertes Mitglied des Hackers Die Community hat dich jemals als Hacker bezeichnet? Wenn Sie alle drei Fragen mit Ja beantworten können Fragen, Sie sind bereits ein Hacker. Zwei allein reichen nicht aus. Beim ersten Test geht es um Fähigkeiten. Sie bestehen es wahrscheinlich, wenn Sie über die zuvor in diesem Dokument beschriebenen technischen Mindestkenntnisse verfügen. Sie blasen es direkt durch, wenn Sie eine beträchtliche Menge an Code hatten von einem Open-Source-Entwicklungsprojekt akzeptiert werden. Der zweite Test betrifft die Einstellung. Wenn die fünf Prinzipien der Hacker-Denkweise für Sie offensichtlich, eher wie eine Beschreibung der Art und Weise, wie Sie bereits leben als alles Neue, du bist schon auf halbem Weg, es zu bestehen. Das ist die innere Hälfte; die andere, äußere Hälfte ist der Grad, in dem Sie Identifizieren Sie sich mit den langfristigen Projekten der Hacker-Community. Hier ist eine unvollständige, aber indikative Liste einiger davon projects: Ist es Ihnen wichtig, dass sich Linux verbessert und verbreitet? Bist du Leidenschaft für Softwarefreiheit? Feindselig gegenüber Monopolen? Handeln Sie in der Überzeugung, dass Computer Instrumente der Ermächtigung sein können, die die Welt zu einem reicheren und menschlicheren Ort machen? Aber hier ist ein Hinweis zur Vorsicht angebracht. Die Hacker-Community hat einige spezifische, in erster Linie defensive politische Interessen – zwei der sie verteidigen das Recht auf freie Meinungsäußerung und wehren sich gegen "geistiges Eigentum" an die Macht, die Open Source illegal. Einige dieser langfristigen Projekte sind Bürgerrechte Organisationen wie der Electronic Frontier Foundation und der die äußere Haltung schließt ihre Unterstützung ein. Aber darüber hinaus, Die meisten Hacker sehen Versuche, die Hacker-Haltung in eine explizites politisches Programm mit Misstrauen; Wir haben gelernt, die harten dass diese Versuche spaltend und ablenkend sind. Wenn jemand versucht, Sie zu rekrutieren, um im Namen der Hacker-Attitüde, haben sie das Wesentliche verfehlt. Die richtige Antwort ist wahrscheinlich "Halt die Klappe und zeig ihnen den Code." Der dritte Test hat ein kniffliges Element der Rekursivität. Ich habe im Abschnitt "Was ist ein Hacker?" festgestellt, dass Hacker zu sein teilweise ein Zugehörigkeit zu einer bestimmten Subkultur oder einem sozialen Netzwerk mit eine gemeinsame Geschichte, ein Innen und ein Außen. In der fernen Vergangenheit haben Hacker waren eine viel weniger geschlossene und selbstbewusste Gruppe als heute. Aber die Bedeutung des Aspekts der sozialen Netzwerke hat im Laufe der Zeit zugenommen in den letzten dreißig Jahren, als das Internet Verbindungen mit der Kern der Hacker-Subkultur einfacher zu entwickeln und zu pflegen. Eine einfache Verhaltensindex des Wandels ist, dass wir in diesem Jahrhundert unsere eigene T-Shirts. Soziologen, die Netzwerke wie die des Hackers untersuchen Kultur unter der allgemeinen Rubrik "unsichtbare Hochschulen" dass ein Merkmal solcher Netzwerke darin besteht, dass sie Gatekeeper haben — Kernmitglieder mit der sozialen Befugnis, neue Mitglieder zu unterstützen in das Netzwerk. Denn das "unsichtbare College", das Hacker ist Kultur ist eine lose und informelle, die Rolle des Gatekeepers ist auch informell. Aber eine Sache, die alle Hacker in ihrem Bones ist, dass nicht jeder Hacker ein Gatekeeper ist. Gatekeeper müssen ein gewisses Maß an Dienstalter und Leistung haben, bevor sie verleihen Sie den Titel. Wie viel ist schwer zu beziffern, aber jeder Hacker weiß wenn sie es sehen. Frage: Bringen Sie mir bei, wie man hackt? Antwort: Seit der ersten Veröffentlichung dieser Seite habe ich mehrere Anfragen erhalten. Woche (oft mehrere am Tag) von Leuten, die "mir alles über Hacking". Leider habe ich weder die Zeit noch die Energie dafür; meine eigenen Hacking-Projekte und die Arbeit als Open-Source-Befürworter, nehmen 110% meiner Zeit in Anspruch. Selbst wenn ich es täte, ist Hacken eine Einstellung und Fähigkeit, die man im Grunde genommen muss Bringen Sie sich selbst bei. Sie werden feststellen, dass echte Hacker Ihnen helfen wollen, Sie werden dich nicht respektieren, wenn du darum bettelst, mit allem gefüttert zu werden, was sie tun wissen. Lerne zuerst ein paar Dinge. Zeige, dass du es versuchst, dass du in der Lage, selbstständig zu lernen. Dann gehen Sie zu den Hackern, mit denen Sie sich treffen spezifische Fragen. Wenn Sie einen Hacker per E-Mail um Rat bitten, gibt es zwei Dinge um es im Voraus zu wissen. Erstens haben wir festgestellt, dass Menschen, die faul oder nachlässig in ihrem Schreiben sind in der Regel zu faul und nachlässig in ihrem denken, um gute Hacker zu machen – also achten Sie darauf, richtig zu schreiben, und Verwenden Sie eine gute Grammatik und Zeichensetzung, sonst werden Sie wahrscheinlich ignoriert. Zweitens: Wagen Sie es nicht, nach einer Antwort zu fragen ein ISP-Konto, das sich von dem Konto unterscheidet, von dem aus Sie senden; Wir finden, dass Menschen, die das tun, in der Regel Diebe sind, die gestohlene Konten verwenden, und wir haben kein Interesse daran, Diebstähle zu belohnen oder zu unterstützen. Frage: Wie kann ich dann anfangen? Antwort: Der beste Weg für Sie, um anzufangen, wäre wahrscheinlich, zu einem LUG zu gehen (Linux-Benutzergruppe). Sie können solche Gruppen auf dem LDP General Linux finden Informationsseite; Es gibt wahrscheinlich einen in Ihrer Nähe, möglicherweise verbunden mit einem College oder einer Universität. LUG-Mitglieder werden wahrscheinlich geben Ihnen ein Linux, wenn Sie danach fragen, und wird Ihnen sicherlich helfen, eines zu installieren und legen Sie los. Dein nächster Schritt (und dein erster Schritt, wenn du kein LUG in der Nähe findest) sollte sein, ein Open-Source-Projekt zu finden, das Sie interessiert. Beginnen Sie zu lesen Code und Überprüfung von Fehlern. Lernen Sie, einen Beitrag zu leisten, und arbeiten Sie sich ein. Der einzige Weg dorthin besteht darin, daran zu arbeiten, Ihre Fähigkeiten. Wenn Sie mich persönlich um Rat fragen, wie Sie begonnen habe, werde ich Ihnen genau die gleichen Dinge sagen, weil ich nicht irgendwelche magischen Abkürzungen für Sie. Ich werde dich auch mental als wahrscheinlicher Verlierer - denn wenn Ihnen die Ausdauer fehlte, diese FAQ zu lesen und die Intelligenz, daraus zu verstehen, dass der einzige Weg Wenn Sie daran arbeiten, Ihre Fähigkeiten zu verbessern, sind Sie hoffnungslos. Eine weitere interessante Möglichkeit ist der Besuch eines Hackerspace. Es gibt eine aufkeimende Bewegung von Menschen, die physische Orte - Maker's Clubs - an denen sie sich zum Arbeiten aufhalten können gemeinsam an Hard- und Softwareprojekten arbeiten oder alleine in einem Atmosphäre. Hackerspaces sammeln oft Tools und spezialisierte Ausrüstung, die für die Einzelpersonen zu besitzen. Hackerspaces sind im Internet leicht zu finden; Einer kann sich in Ihrer Nähe befinden. Frage: Wann müssen Sie anfangen? Ist es zu spät für mich, um zu lernen? Antwort: Jedes Alter, in dem Sie motiviert sind, anzufangen, ist ein gutes Alter. Die meisten Menschen zwischen 15 und 20 Jahren zu interessieren scheinen, aber ich kenne Ausnahmen in beide Richtungen. Frage: Wie lange brauche ich, um Hacken zu lernen? Antwort: Das hängt davon ab, wie talentiert Sie sind und wie hart Sie arbeiten es. Die meisten Menschen, die es versuchen, können in achtzehn Jahren respektable Fähigkeiten erwerben Monate bis zwei Jahre, wenn sie sich konzentrieren. Glauben Sie nicht, dass es hier endet, obwohl; Beim Hacken dauert es (wie in vielen anderen Bereichen) etwa zehn Jahre um Meisterschaft zu erlangen. Und wenn Sie ein echter Hacker sind, werden Sie den Rest ausgeben deines Lebens zu lernen und dein Handwerk zu perfektionieren. Frage: Ist Visual Basic eine gute Sprache für den Anfang? Antwort: Wenn Sie diese Frage stellen, bedeutet dies mit ziemlicher Sicherheit, dass Sie Ich denke darüber nach, unter Microsoft Windows zu hacken. Das ist ein schlechter Idee an sich. Als ich versuchte, zu lernen, wie man unter Windows hackt zu versuchen, tanzen zu lernen, während ich einen Gips trug, scherzend. Gehen Sie nicht dorthin. Es ist hässlich, und es hört nie auf, es zu sein hässlich. Es gibt ein spezifisches Problem mit Visual Basic. hauptsächlich dass es nicht tragbar ist. Obwohl es einen Open-Source-Prototyp gibt Implementierungen von Visual Basic, den geltenden ECMA-Standards nicht mehr als einen kleinen Satz seiner Programmierschnittstellen abdecken. Auf Windows unterstützt den größten Teil seiner Bibliotheksunterstützung für einen einzelnen Anbieter (Microsoft); Wenn Sie nicht besonders vorsichtig sind, welche Funktionen Sie verwenden – vorsichtiger als alle anderen Neuling wirklich in der Lage ist – Sie werden am Ende in nur die Plattformen, die Microsoft unterstützt. Wenn Sie beginnend mit einem Unix, viel bessere Sprachen mit besseren Bibliotheken stehen zur Verfügung. Python zum Beispiel. Außerdem ist Visual Basic wie andere Basics ein schlecht gestaltete Sprache, die Ihnen schlechtes Programmieren beibringt Angewohnheiten. Nein, verlangen Sie nicht, dass ich sie in Detail; Diese Erklärung würde ein Buch füllen. Lernen Sie eine gut gestaltete Sprache statt. Eine dieser schlechten Gewohnheiten ist es, von einem einzigen abhängig zu werden Bibliotheken, Widgets und Entwicklungstools des Anbieters. Im Allgemeinen sind alle Sprache, die nicht mindestens unter Linux oder einem der BSDs vollständig unterstützt wird, und/oder der Betriebssysteme von mindestens drei verschiedenen Anbietern, ist ein schlechter eine, in der man lernen muss, sich einzuhacken. Frage: Würdest du mir helfen, ein System zu knacken, oder mir beibringen, wie man knackt? Antwort: Nein. Jeder, der nach der Lektüre dieser FAQ immer noch eine solche Frage stellen kann ist zu dumm, um erziehbar zu sein, selbst wenn ich die Zeit für Nachhilfe hätte. Alle E-Mail-Anfragen dieser Art, die ich erhalte, werden ignoriert oder antwortete mit äußerster Unhöflichkeit. Frage: Wie kann ich das Passwort für das Konto einer anderen Person erhalten? Antwort: Das ist ein Crack. Geh weg, Idiot. Frage: Wie kann ich in die E-Mails einer anderen Person eindringen/sie lesen/überwachen? Antwort: Das ist ein Crack. Verschwinde, du Idiot. Frage: Wie kann ich Channel-Op-Privilegien im IRC stehlen? Antwort: Das ist ein Crack. Bitte, Kretin. Frage: Ich bin geknackt. Helfen Sie mir, weitere Angriffe abzuwehren? Antwort: Nein. Jedes Mal, wenn mir diese Frage bisher gestellt wurde, war es von einem armen SAP, der Microsoft Windows ausführt. Es ist nicht möglich, Windows-Systeme effektiv vor Crack-Angriffen schützen; den Code und Architektur haben einfach zu viele Mängel, was die Sicherung von Windows als würde man versuchen, ein Boot mit einem Sieb zu retten. Die einzige zuverlässige Prävention beginnt mit dem Wechsel zu Linux oder einem anderen System, das so konzipiert ist, dass es zumindest sicherheitsfähig ist. Frage: Ich habe Probleme mit meiner Windows-Software. Werden Sie mir helfen? Antwort: Ja. Gehen Sie zu einer DOS-Eingabeaufforderung und geben Sie "format c:" ein. Alle Probleme, die Sie mit Windows erleben, hören innerhalb weniger Minuten auf. Frage: Wo finde ich echte Hacker, mit denen ich reden kann? Antwort: Am besten finden Sie eine Unix- oder Linux-Benutzergruppe in Ihrer Nähe und zu ihren Meetings gehen (Sie finden Links zu mehreren Listen von Benutzern, Gruppen auf der LDP-Website unter ibiblio). (Ich habe hier immer gesagt, dass man im IRC keine echten Hacker finden würde, aber mir wurde zu verstehen gegeben, dass sich dies ändert. Anscheinend haben einige echte Hacker-Communities, die mit Dingen wie GIMP und Perl verbunden sind, haben IRC -Kanäle.) Frage: Können Sie nützliche Bücher über Hacking-bezogene Themen empfehlen? Antwort: Ich unterhalte ein Linux-Leselisten-HOWTO, das Sie hilfreich finden könnten. Die Loginataka könnte auch interessant sein. Eine Einführung in Python finden Sie im Tutorial auf der Python-Website. Frage: Muss ich gut in Mathe sein, um Hacker zu werden? Antwort: Nein. Hacking verwendet sehr wenig formale Mathematik oder Arithmetik. Insbesondere benötigen Sie in der Regel keine Trigonometrie, Infinitesimalrechnung oder Analyse (es gibt Ausnahmen davon in einer Handvoll spezifischer Anwendungsbereiche wie 3D-Computergrafik). Kenntnis der formalen Logik und Boolesche Algebra ist gut. Einige Grundlagen in endlicher Mathematik (einschließlich endlicher Mengentheorie, Kombinatorik und Graphentheorie) hilfreich. Viel wichtiger: Sie müssen logisch denken können und folgen Ketten exakter Argumentationen, wie es Mathematiker tun. Während der Inhalt der meisten Mathematik Ihnen nicht helfen wird, benötigen Sie die Disziplin und Intelligenz, um mit Mathematik umzugehen. Wenn es Ihnen an die Intelligenz, es gibt wenig Hoffnung für Sie als Hacker; Wenn Sie Fehlt die Disziplin, sollten Sie sie besser wachsen lassen. Ich denke, ein guter Weg, um herauszufinden, ob Sie das Zeug dazu haben, ist die Auswahl ein Exemplar von Raymond Smullyans Buch What Is The Name Of Dieses Buch?. Smullyans spielerische logische Rätsel sind sehr ganz im Sinne von Hackern. In der Lage zu sein, sie zu lösen, ist ein gutes Zeichen; Spaß am Lösen ist noch besser. Frage: Welche Sprache sollte ich zuerst lernen? Antwort: HTML, wenn Sie es noch nicht kennen. Es gibt viele glänzende, hype-intensive schlechte HTML-Bücher da draußen, und erschreckend wenige gute. Diejenige, die ich mag am besten ist HTML: Die Definitive Anleitung. HTML ist jedoch keine vollständige Programmiersprache. Wenn Sie bereit sind Um mit dem Programmieren zu beginnen, würde ich empfehlen, mit Python zu beginnen. Sie werden viel hören Leute, die Perl empfehlen, aber es ist schwieriger zu lernen und (meiner Meinung nach) weniger gut gestaltet. C ist wirklich wichtig, aber es ist auch viel schwieriger als beides Python oder Perl. Versuchen Sie nicht, es zuerst zu lernen. Windows-Benutzer, geben Sie sich nicht mit Visual zufrieden Grundlegend. Es wird Ihnen schlechte Gewohnheiten beibringen und es ist nicht übertragbar Fenster. Vermeiden. Frage: Welche Art von Hardware benötige ich? Antwort: Früher waren PCs eher leistungsschwach und Speicherarm, so dass sie die Lernprozess. Dies war Mitte der 1990er Jahre nicht mehr der Fall; jede Maschine ab einem Intel 486DX50 ist mehr als leistungsstark genug für die Entwicklung Arbeit, X und Internetkommunikation und die kleinsten Festplatten, die Sie Kaufen Sie heute sind groß genug. Das Wichtigste bei der Auswahl einer Maschine, auf der Sie lernen möchten, ist ob seine Hardware Linux-kompatibel ist (oder BSD-kompatibel, sollte Sie entscheiden sich für diesen Weg). Auch dies gilt für fast alle modernen Maschinen. Die einzigen wirklich klebrigen Bereiche sind Modems und Wireless Karten; Einige Computer verfügen über Windows-spezifische Hardware, die nicht funktioniert mit Linux. Es gibt eine FAQ zur Hardwarekompatibilität; Die neueste Version ist hier. Frage: Ich möchte einen Beitrag leisten. Können Sie mir helfen, ein Problem auszuwählen, an dem ich arbeiten kann? Antwort: Nein, weil ich Ihre Talente oder Interessen nicht kenne. Sie haben selbstmotiviert zu sein, sonst bleiben Sie nicht dabei, weshalb andere Menschen wählen Ihre Richtung fast nie. Frage: Muss ich Microsoft hassen und verprügeln? Antwort: Nein, das müssen Sie nicht. Nicht, dass Microsoft nicht abscheulich wäre, aber es gab eine Hackerkultur lange vor Microsoft und es wird noch lange danach eine geben Microsoft ist Geschichte. Jede Energie, die Sie darauf verwenden, Microsoft zu hassen, würde Seien Sie besser damit beschäftigt, Ihr Handwerk zu lieben. Schreiben Sie guten Code – das wird verprügeln Sie Microsoft ausreichend, ohne Ihr Karma zu beschmutzen. Frage: Aber wird Open-Source-Software Programmierer nicht dazu bringen, ihren Lebensunterhalt zu bestreiten? Antwort: Dies scheint unwahrscheinlich – bisher hat die Open-Source-Software Die Industrie scheint Arbeitsplätze zu schaffen, anstatt sie wegzunehmen. Wenn Ein Programm geschrieben zu haben, ist ein wirtschaftlicher Nettogewinn, wenn man es nicht hat geschrieben wird, wird ein Programmierer bezahlt, unabhängig davon, ob das Programm wird Open Source sein, nachdem es fertig ist. Und egal wie viel "freie" Software geschrieben wird, scheint es immer mehr Nachfrage nach neue und kundenspezifische Anwendungen. Ich habe mehr darüber auf den Open-Source-Seiten geschrieben. Frage: Wo bekomme ich ein kostenloses Unix? Antwort: Wenn Sie noch kein Unix auf Ihrem Computer installiert haben, An anderer Stelle auf dieser Seite füge ich Hinweise hinzu, wo man am meisten bekommt häufig verwendetes freies Unix. Um ein Hacker zu sein, braucht man Motivation und Eigeninitiative und die Fähigkeit, sich weiterzubilden. Jetzt loslegen...

Pinned

  1. MarcelRaschke MarcelRaschke Public

    Config files for my GitHub profile.

    1