Это новая версия страницы. Часть функций ещё в работе — мы добавляем их постепенно.
К старой версии страницы- Главная
- Peter Kim
- 📚 Книги
- The Hacker Playbook: Practical Guide To Penetration TestingThe Hacker Playbook: Practical Guide To Penetration Testing

Ваша оценкаИздательство:
ISBN:
978-1494932633
Год издания:
2014
294 страницы, Мягкая обложка
Формат: 15.2 x 1.7 x 22.9 cm
Язык: English
Возрастные ограничения:
18+
Рейтинг LiveLib
- 5100%
- 40%
- 30%
- 20%
- 10%
Ваша оценкаРецензии
svetlanavk9 января 2015Читать далееДолго собиралась с мыслями. чтобы рассказать наконец о вышедшей прошлой весной увлекательной книге. В оригинальной манере Peter Kim повествует о всех этапах пентеста - от настройки компьютера до составления отчета об обнаруженных уязвимостях. Глава 1 Pregame - The Setup знакомит читателя с основными дистрибутивами и утилитами, используемыми при пентесте. Естественно, подчеркивается, что под рукой надо иметь мощный компьютер, две операционки - Windows и [Kali] Linux - и много-много дополнительного софта (кстати, автор заботливо приводит must-have список с действиями по его установке). Глава 2 Before the Snap - Scanning the Network посвящена, как это следует из названия, сканированию. Описаны три метода - пассивное, активное и сканирование веб-приложений. Пассивное сканирование заключается в сборе открытой информации (да-да, OSINT). Активное сканирование - запуск утилит типа Nmap, Nessus и т.п. Сканирование веба - использование возможностей Burp Suite [Pro]. В главе 3 The Drive - Exploiting Scanner Findings идет краткий рассказ о том, как пользоваться Metasploit'ом. Ну и вскользь упоминается Exploit-DB с присутствующими в ней скриптами. Глава 4 The Throw - Manual Web Application Findings. Я далека от темы пентеста веб-приложений, поэтому этот раздел заинтересовал меня куда больше остальных. Однако не могу сказать, что он открыл для меня Америку - описываются SQLi, XSS, CSRF и утилиты, способствующие их нахождению и экспуатации. Наиболее ценным выглядит скрипт, который аггрегирует валидные XSS, публикуемые на реддите. Итак, вы в сети, но с ограниченными правами. Ответом на вопрос "что дальше?" служит глава 5 The Lateral Pass - Moving Through the Network. Получение хэшей учеток, их вскрытие, атака на контроллер домена, ARP-спуфинг (кстати, с помощью Evil FOCA), MitM, SSLStrip и т.д., и т.п. В общем, самая насыщенная глава книги. В главе 6 The Screen - Social Engineering приводится всего лишь несколько примеров социальной инженерии - домены-двойники, SET и даже о Excel-макросах не забыли упомянуть. Кроме очевидного клонирования RFID-карт, в главе 7 The Onside Kick - Attacks that Require Physical Access рассказывается о перехвате WiFi-трафика. Глава 8 The Quarterback Sneak - Evading AV посвящена простейшим способам обхода сигнатурных антивирусов. Глава 9 Special Teams - Cracking, Exploits, Tricks. Как пишет сам автор - "здесь я собрал все то, что помогает пентесту, но чему не нашлось места в других главах". Описаны программы для взлома хэшей, приведены ссылки на разные словари для брутфорса, упоминаются сервисы Exploit-DB и BugTraq, а также скрипт поиска известных экспоитов searchsploit. Стоит отметить технику сокрытия файлов в Windows, описанную в этой главе - что называется, "все гениальное - просто". И, наконец, в последней главе 10 Post Game Analysis - Reporting автор дает рекомендации по составлению отчетной документации по проведенным мероприятиям. Многие моменты в книге описаны кратко, однако в тексте всегда присутствует ссылка на тематическую книгу или сайт, где можно подчерпнуть детальную информацию по заинтересовавшему вопросу. Думаю, логичней было бы назвать книгу cookbook, а не practical guide, но это дело вкуса автора. В целом, The Hacker Playbook прекрасно структурирует знания области и, на мой взгляд, достойна находиться в библиотеке любого ИБ-специалиста.
1 понравилось
693
Цитаты
Еще не добавлена ни одна цитата из книги. Ваша может стать первой.
Подборки с этой книгой

Библиотечка QA специалиста
raro4ka
- 130 книг
DEFCON Computer Reference
0x539
- 18 книг
QA
FreeleyTaxicabs
- 68 книг

























