Książki dla testerów security cz. 3 czyli zainteresowanych testami bezpieczeństwa, skanami bezpieczeństwa i pentestami. Poznaj co możesz czytać do poduszki by rozwinąć swoje umiejętności w tym zakresie. Dzięki tym książkom możesz poszerzać swoją wiedzę niekoniecznie siedząc z nosem w monitorze (chyba, że kupisz ebooka). Wpis jest kontynuacją artykułu ze stycznia 2022 roku o książkach z tematyki security.
Etyczny haking. Praktyczne wprowadzenie do hakingu – Daniel Graham
Ta książka, jest szybkim kursem nowoczesnych technik hakerskich. Przedstawia różne rodzaje cyberataków, wyjaśnia ich podstawy technologiczne i omawia służące im narzędzia. Dowiesz się, w jaki sposób przechwytywać ruch sieciowy i badać pozyskane pakiety. Nauczysz się zdalnie uruchamiać polecenia na komputerze ofiary i napiszesz własny ransomware. Przeczytasz o tym, jak wykrywać nowe luki w oprogramowaniu, jak tworzyć trojany i rootkity, a także jak używać techniki wstrzykiwania SQL. Zapoznasz się również z szeroką gamą narzędzi do przeprowadzania testów penetracyjnych (takich jak Metasploit Framework, mimikatz i BeEF). Rozeznasz się w działaniu zaawansowanych fuzzerów i sposobach szyfrowania ruchu internetowego. Poznasz też wewnętrzne mechanizmy złośliwego oprogramowania.
Kali Linux i testy penetracyjne. Biblia – Gus Khawaja
Ta książka jest praktycznym i wyczerpującym przewodnikiem. Dzięki któremu w pełni wykorzystasz możliwości Kali Linux. Opisano w niej wiele interesujących zagadnień związanych z przeprowadzaniem testów penetracyjnych. Dowiesz się też jak zbudować nowoczesne środowisko testowe z użyciem kontenerów Docker. Ponadto przyswoisz podstawy języka powłoki bash, nauczysz się wyszukiwania podatności i luk w zabezpieczeniach. Dowiesz się także o identyfikacji podatności fałszywie pozytywnych. Od strony praktycznej poznasz metodologię pentestów. Znajdziesz tu również wskazówki, jak używać Pythona do automatyzacji testów penetracyjnych.
Bug Bounty Bootcamp. Przewodnik po tropieniu i zgłaszaniu luk w zabezpieczeniach – Vickie Li
Książka jest kompleksowym i praktycznym przewodnikiem po hakowaniu aplikacji internetowych w ramach udziału w programach bug bounty. Znajdziesz w niej wszystkie niezbędne informacje, od budowania relacji z klientami i pisania znakomitych raportów o błędach w zabezpieczeniach po naukę zaawansowanych technik hakerskich. Dowiesz się, jak przygotować własne laboratorium hakerskie i zgłębisz typowe techniki działania, takie jak XSS czy SQL injection. Zapoznasz się też ze strategiami prowadzenia rekonesansu i sposobami jego automatyzacji za pomocą skryptów powłoki bash. Nie zabrakło też opisu hakowania aplikacji mobilnych, testowania interfejsów API i inspekcji kodu źródłowego pod kątem luk w zabezpieczeniach
Po pierwsze: bezpieczeństwo. Przewodnik dla twórców oprogramowania – Loren Kohnfelder
Przedmiotowa książka powstała z myślą o architektach oprogramowania, projektantach, programistach i dyrektorach do spraw technicznych. Zwięźle i przystępnie opisano w niej, jak zadbać o bezpieczeństwo na wczesnym etapie projektowania oprogramowania. Ponadto jak zaangażować w ten proces cały team. Najpierw zaprezentowano podstawowe pojęcia, takie jak zaufanie, zagrożenia, łagodzenie skutków, bezpieczne wzorce projektowe i kryptografia. Omówiono też szczegółowo proces tworzenia projektu oprogramowania i jego przegląd pod kątem bezpieczeństwa. Wyjaśniono, jakie błędy najczęściej pojawiają się podczas kodowania i w jaki sposób powodują powstawanie luk w zabezpieczeniach. Poszczególne zagadnienia zostały uzupełnione obszernymi fragmentami kodu w językach C i Python.
Warsztat hakera. Testy penetracyjne i inne techniki wykrywania podatności – Matthew Hickey, Jennifer Arcuri
Wskazana książka stanowi kurs praktycznych technik hakowania. Dzięki nim dokładnie poznasz zasady i narzędzia używane do przełamywania zabezpieczeń i uzyskiwania dostępu do chronionych danych. Dowiesz się, w jaki sposób należy się przygotować do przeprowadzenia ataku. Także jakie aspekty infrastruktury sieciowej stanowią o jej niedoskonałości i podatności. Poznasz metody zbierania informacji z otwartych źródeł, systemu DNS, usług pocztowych, serwerów WWW, sieci VPN, serwerów plików lub baz danych i aplikacji sieciowych. Nauczysz się korzystać z narzędzi i exploitów do hakowania systemów: Linux, Unix i Microsoft Windows. Do praktycznych ćwiczeń posłużą Ci laboratoria – specjalne środowiska przygotowane do bezpiecznego hakowania, dzięki czemu łatwiej zdobędziesz potrzebne umiejętności.
Hakowanie internetu rzeczy w praktyce. Przewodnik po skutecznych metodach atakowania IoT – Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou i in.
Kolejna książka jest praktycznym przewodnikiem po technikach atakowania internetu rzeczy. Dzięki niej dowiesz się, w jaki sposób testować systemy, urządzenia i protokoły i jak ograniczać ryzyko. Zawarto tutaj przegląd typowych zagrożeń i opisano sposoby ich modelowania. Omówiono też metodykę testowania bezpieczeństwa i pasywnego rekonesansu. Także zasady oceny zabezpieczeń wszystkich warstw systemów IoT. Zaprezentowano techniki ataków polegających na przeskakiwaniu między sieciami VLAN, łamaniu uwierzytelnień w protokole MQTT, zakłócaniu usługi mDNS czy zniekształcaniu komunikatów WS-Discovery. W rezultacie lektury nauczysz się hakować sprzęt i transmisję radiową. Poznasz też metodykę ataków na wbudowane urządzenia IoT i systemy RFID.
Kali Linux i zaawansowane testy penetracyjne. Zostań ekspertem cyberbezpieczeństwa za pomocą Metasploit, Nmap, Wireshark i Burp Suite. Wydanie IV – Vijay Kumar Velu
Jeśli masz już pewne umiejętności pentestera, dzięki tej książce poszerzysz swoją wiedzę o zaawansowanych narzędziach dostępnych w Kali Linux. Ponadto nauczysz się wyrafinowanych taktyk stosowanych przez prawdziwych hakerów do atakowania sieci komputerowych. Omówiono tu różne sposoby instalowania i uruchamiania systemu Kali Linux w środowisku maszyn wirtualnych i kontenerów. Opisano też szereg zagadnień związanych z pasywnym i aktywnym rozpoznawaniem środowiska celu, w tym z używaniem skanerów podatności i modelowaniem zagrożeń. Zaprezentowano wiele zaawansowanych metod prowadzenia ataków na sieci komputerowe, urządzenia IoT, systemy wbudowane i urządzenia wykorzystujące połączenia bezprzewodowe.
Aktywne wykrywanie zagrożeń w systemach IT w praktyce. Wykorzystywanie analizy danych, frameworku ATT&CK oraz narzędzi open source – Valentina Costa-Gazcón
Ostatnia książka to praktyczny przewodnik po aktywnych technikach wykrywania, analizowania i neutralizowania zagrożeń cybernetycznych. Dzięki niej, nawet jeśli nie posiadasz specjalistycznej wiedzy w tym zakresie, łatwo wdrożysz od podstaw skuteczny program aktywnego zabezpieczania swojej organizacji. Dowiesz się też w jaki sposób wykrywać ataki, jak zbierać dane i za pomocą modeli pozyskiwać z nich cenne informacje. Przekonasz się, że niezbędne środowisko możesz skonfigurować przy użyciu narzędzi open source. Dzięki licznym ćwiczeniom nauczysz się w praktyce korzystać z biblioteki testów Atomic Red Team, a także z frameworku MITRE ATT&CK. Nadto zdobędziesz umiejętności związane z dokumentowaniem swoich działań. Dodatkowo definiowaniem wskaźników bezpieczeństwa systemu, jak również komunikowaniem informacji o jego naruszeniach swoim współpracownikom, przełożonym i partnerom biznesowym.
Podsumowanie
Książki dla testerów security cz. 3 to kontynuacja wpisów o książkach dla testerów z tematyki security. Z racji tego, że testowanie ma coraz więcej gałęzi, koniecznym było wybranie książek dla tego działu testów. Postaramy się też zapoznać z książkami w języku angielskim i stworzyć odrębny wpis. W dziale książki opisujemy wiele książek dla testerów oprogramowania i osób pracujących w IT.