关于分类的一些说明

时间: 2016-08-30 阅读: 808 作者: admin

Sec-News的分类确实有点乱,很多重合的部分,不过有些领域就是有重合,这个也没办法。大概说一下我们分类的方法。

  • 区块链:所有和区块链有关的文章,包括漏洞分析等
  • 硬件安全:各种板子/RFID等等,折腾的都算硬件安全
  • 神器分享:文章主要讲工具、工具使用的,都算这里面
  • 漏洞分析:针对具体漏洞的分析的文章,不管出漏洞的软件是web应用还是PC、手机应用,一定是具体漏洞,讲一类漏洞的就不属于漏洞分析了。
  • 软件安全:笼统的讲二进制研究与方法论的都放在这里面。
  • Exploit:对某个漏洞编写利用工具的文章,着重在利用上。比如一个文章讲了某个CVE,但没说怎么利用,只能算“漏洞分析”。如果讲的是怎么利用,并给出利用代码或编写利用代码的方法,就算在“Exploit”里面。
  • 渗透测试:对某一目标进行渗透的算在渗透测试里,着重是“目标”与“渗透”,有内网,并且在内网里扮演攻击者(访问者)的文章基本都属于这个分类。
  • CTF:所有CTF的解题报告、方法论,都属于这个分类,不管题目是web题还是二进制题。
  • IOS:与IOS安全有关的文章。
  • 路由与终端设备:与路由、终端、设备等有关的文章。这里也有可能涉及内网,但如果文章中没有明确说到是一次“渗透测试”,那么就属于这个分类;如果是一次“渗透测试”的记录的话,即使讲到路由等设备,也应该属于“渗透测试”分类。
  • Android:与安卓安全有关的文章。通常移动安全有关的文章,如果着重写安卓的东西,就应该放在这个分类,否则放在IOS分类中。
  • 木马与病毒:包含几个部分:木马病毒编写、分析文章,APT攻击分析的文章,操作系统(Windows)利用技巧,如UAC Bypass、杀毒软件绕过等等。
  • 前端安全:顾名思义,所有前端漏洞分析、技巧分享等,如XSS、CSRF、点击劫持等等,是从web安全里单独提出来的一个分类。
  • 程序之美:关于编程的文章,主要讲编程技巧、方法,着重点是“编程”。比如一篇文章是编写某个漏洞的Exp,如果其着重在如何“编写”上(增加效率、减少误报等),就应该算这个分类;如果其着重在漏洞原理上,就应该算“Exploit”分类。
  • 运维与服务安全:一些服务的漏洞或安全问题,重点在“服务”。比如讲redis未授权访问的危害、Linux下如何配置Tomcat等。这个分类也会涉及到内网,但作者在其中的角色应该属于“管理者”,而非“攻击者”。
  • Web安全:除了前端安全以外的所有跟Web有关的安全文章,和二进制一样这也是比较笼统的概念。比如一个CMS的某个具体漏洞分析的文章,虽然属于Web安全,但应该放进“漏洞分析”分类,CTF的Web题也是一样,应该放在“CTF”分类。而“Web安全”分类应该是除此之外的一个大分类,当无法细分的情况下就选择Web安全,比如讲某个CMS的漏洞挖掘方法的文章等。
  • 其他:不属于以上分类的。