John Wiley & Sons Inc Advanced Penetration Testing: Hacking The Worlds Most Secure Networks

Comprato sotto consiglio di un collega e devo dire che aveva ragione molto interessante, non per neofiti

Ehrlich gesagt hatte ich mir etwas mehr tiefgang erwartet. Wil Allsopp erklärt in dem Buch anhand verschiedener Attack Patterns unterschiedliche Möglichkeiten an ein gewünschtes Ziel zu kommen. Leider tut er das nur sehr salopp zwar sind Code Beispiele vorhanden und auch Theorie über AV Evasion etc. jedoch habe ich nicht das Gefühl, auch wenn das Buch sehr gut geschrieben ist, besonders viel gelernt zu haben. Ich würde es dennoch empfehlen schon alleine um seine Gedankengänge nachvollziehen zu können.

Es uno de los mejores libros sobre seguridad que he leído. Cada capítulo detalla un escenario de pentesting basado en un engagement real realizado por el autor, y te va guiando en la construcción de un framework para simular APTs, añadiendo mayor complejidad en cada capítulo. El libro está además escrito con un estilo muy personal, donde el sentido del humor y los amplios conocimientos del autor se van dejando entrever prácticamente en cada párrafo. Los fragmentos de código y los pantallazos ayudan a la comprensión, pero se dejan deliveradamente algunas cosas para que el lector pueda cacharrear y aprender practicando. Puedes leerte el libro en una tarde y aún así, sacar lecciones valiosas. Pero la mejor forma de consumirlo sin duda es teniendo un VMWare y un Kali delante para ir jugando con las técnicas que se van describiendo. Si solo pudiera extraer una lección de este libro, sería la siguiente: el pentesting real es 0% 0Day exploits y herramientas mágicas, y 100% usar el cerebro. La mayoría de los casos descritos en el libro comienzan con algún tipo de phishing y, en situaciones donde uno pensaría en ir corriendo a buscar algo a ExploitDB, el autor te muestra posibles atajos y trucos que muchas veces se pasan por alto debido a la complejidad de los sistemas con los que trabajamos.

This book is the real deal. I found it to be eye-opening, because, despite sounding very advanced and almost next-level, the attacks accompanied by source code show how simple and effective they are in reality. This book seemed light at first (200 pages), so I was skeptical at it's ability to really tackle advanced topics, but I will say I was very pleasantly surprised. Those two hundred pages are action packed and filled with jaw-dropping 'this is cool' moments. My only gripe with it is that it's a little formulaic, with the social engineering being shoehorned into every attack, and maybe pushing the whole APT thing too much, like when you really want something to become 'a thing'. Do we really need to socially engineer payloads using the same formula for all of the attacks? Not even one 'ha Ked the router with boring Cisco exploits' example? I guess it wouldn't make for an entertaining book.

Excellent