Książki dla testerów security cz. 6 czyli zainteresowanych testami bezpieczeństwa, skanami bezpieczeństwa i pentestami. Poznaj co możesz czytać do poduszki by rozwinąć swoje umiejętności w tym zakresie. Dzięki tym książkom możesz poszerzać swoją wiedzę niekoniecznie siedząc z nosem w monitorze (chyba, że kupisz ebooka). Wpis jest kontynuacją artykułów z 2022 roku, oraz kolejnego wydanego w tym roku o książkach z tematyki security.
Ryzyko w cyberbezpieczeństwie. Metody modelowania, pomiaru i szacowania ryzyka. Wydanie II – Douglas W. Hubbard, Richard Seiersen
Oto drugie wydanie książki, którą specjaliści CISO uznali za przełomową. Dowiesz się z niej, jak kwantyfikować niepewność i jak za pomocą prostych metod i narzędzi poprawić ocenę ryzyka w nowoczesnych organizacjach. Znalazły się tutaj nowe techniki modelowania, pomiaru i szacowania, a także mnóstwo praktycznych wskazówek dotyczących wdrażania tych rozwiązań w formie spójnego programu. Nauczysz się też oceniać ryzyko, gdy masz dostęp do niewielu danych. Przekonasz się, że zamiast metod jakościowych dużo lepsze efekty w zarządzaniu ryzykiem cyberbezpieczeństwa osiąga się dzięki kwantyfikacji i zaplanowanym pomiarom.
Black Hat GraphQL. Bezpieczeństwo API dla hakerów i pentesterów – Nick Aleks, Dolev Farhi
Dzięki tej książce dowiesz się, jak testować zabezpieczenia API GraphQL technikami ofensywnymi, takimi jak testy penetracyjne. Zdobędziesz i ugruntujesz wiedzę o GraphQL, niezbędną dla analityka bezpieczeństwa czy inżyniera oprogramowania. Nauczysz się skutecznie atakować API GraphQL, co pozwoli Ci wzmocnić procedury, stosować zautomatyzowane testy bezpieczeństwa w potoku ciągłej integracji i wdrażania, a ponadto efektywnie weryfikować mechanizmy zabezpieczeń. Zapoznasz się również z raportami o znalezionych lukach w zabezpieczeniach i przejrzysz kod exploitów, a także przekonasz się, jak wielki wpływ wywierają na działalność przedsiębiorstw.
Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych – Corey J. Ball
Ta książka stanowi przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych. Dzięki niej przygotujesz się do testowania interfejsów, wyszukiwania błędów i zwiększania bezpieczeństwa własnoręcznie napisanych interfejsów. Dowiesz się, jak interfejsy REST API działają w środowisku produkcyjnym i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów: Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Następnie nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych czy typowe słabe punkty interfejsów. Dowiesz się też, jak tworzyć skrypty międzyinterfejsowe, a także jak prowadzić masowe przypisania i wstrzykiwanie danych.
Go H*ck Yourself. Proste wprowadzenie do obrony przed cyberatakami – Bryson Payne
Dzięki tej książce przekonasz się, że typowe ataki hakerskie są bardzo łatwe do wykonania. Zaczniesz od przygotowania wirtualnego laboratorium. W laboratorium bezpiecznie możesz wypróbowywać różnego rodzaju techniki, nie narażając przy tym nikogo na ryzyko. Następnie krok po kroku będziesz się uczyć przeprowadzać najważniejsze rodzaje ataku. W tym włamania z dostępem fizycznym, Google hacking, ataki phishingowe, socjotechniczne i za pomocą złośliwego oprogramowania, hakowanie stron internetowych, łamanie haseł, wreszcie włamania do telefonów i samochodów. Dowiesz się, jak prowadzić rekonesans. Przyjrzysz się cyberatakom z punktu widzenia zarówno napastnika, jak i ofiary. Co najważniejsze, wszystkie techniki zostały przedstawione na bazie rzeczywistych przykładów i opatrzone praktycznymi wskazówkami dotyczącymi obrony. W efekcie nie tylko zrozumiesz zasady ataku, ale także poznasz sposoby, jak się ustrzec przed hakerami.
Sekurak – Wprowadzenie do bezpieczeństwa IT, tom 2
Wprowadzenie do bezpieczeństwa IT, tom 2 to wspólne dzieło 13 autorów-praktyków, znanych w środowisku bezpieczeństwa IT w Polsce.
Kilka informacji o książce:
- ~810 stron, druk w kolorze
- Wydane przez Securitum (Sekurak)
Spis treści
- Łukasz Olejnik, Wprowadzenie do cyber operacji i cyber wojny
- Grzegorz Tworek, Podstawy bezpieczeństwa systemów Windows – systemy serwerowe
- Grzegorz Tworek, Podstawy bezpieczeństwa systemów Windows – systemy klienckie
- Robert Przybylski, Bezpieczeństwo Active Directory
- Robert Przybylski, Wprowadzenie do bezpieczeństwa Entra ID
- Karol Szafrański, Wprowadzenie do hardeningu systemów Linux
- Piotr Wojciechowski, Bezpieczne architektury sieci
- Łukasz Bromirski, Bezpieczeństwo globalnego i lokalnego routingu IP
- Maciej Szymczak, Wprowadzenie do bezpieczeństwa sieci Wi-Fi
- Arkadiusz Siczek, Monitorowanie zasobów IT za pomocą narzędzia Zabbix
- Kamil Jarosiński, Wprowadzenie do bezpieczeństwa Docker
- Paweł Łąka, Uwierzytelnienie oraz systemy klasy IAM (Identity and Access Management)
- Mateusz Wójcik, Architektura ARM bez tajemnic
- Mateusz Wójcik, Wprowadzenie do narzędzia Ghidra – na przykładzie poszukiwania podatności OS Command injection
- Tomasz Turba, Wprowadzenie do narzędzia Wireshark
- Piotr Rzeszut, Radia programowe SDR w analizie bezpieczeństwa
Sam zamówiłem pre-order i zachęcam Was gorąco do zakupu u Sekuraka. Po prostu chłopaki robią super dobrą robotę.
Informacje o książce pochodzą ze strony wydawcy.
Bezpieczeństwo aplikacji mobilnych. Podręcznik hakera – Dominic Chell, Shaun Colley, Tyrone Erasmus, Ollie Whitehouse
Niniejsza książka jest całościowym i bardzo praktycznym kompendium wiedzy o bezpieczeństwie aplikacji mobilnych. Uwzględniono tutaj problemy charakterystyczne dla platform iOS, Android i Windows Phone. Dzięki czemu zaproponowanie najwłaściwszej strategii zabezpieczenia aplikacji jest o wiele prostsze. Wyjaśniono przyczyny w książce podatności aplikacji mobilnych na ataki, opisano też techniki prowadzenia ataku i wykorzystywania luk w zabezpieczeniach. Bardzo dokładnie przedstawiono także strategie obrony i działania. Takie wskazówki dzięki którym programiści mogą chronić swoje aplikacje. Poradnik ten docenią przede wszystkim osoby przeprowadzające testy penetracyjne, konsultanci z zakresu bezpieczeństwa oraz oczywiście programiści.
Podsumowanie
Książki dla testerów security cz. 6 to kontynuacja wpisów o książkach dla testerów z tematyki security. Z racji tego, że testowanie ma coraz więcej gałęzi, koniecznym było wybranie książek dla tego działu testów. Postaramy się też zapoznać z książkami w języku angielskim i stworzyć odrębny wpis. W dziale książki opisujemy wiele książek dla testerów oprogramowania i osób pracujących w IT.