Привет! Меня зовут Владимир, я преподаю на факультете информационной безопасности Geek University. Часто студенты спрашивают меня и коллег, что почитать для развития. Поэтому мы всей командой решили сделать небольшую подборку книг, которые нам понравились. Будем рекомендовать разные издания — и объяснять, кому и зачем могут пригодиться эти материалы.
Mastering Modern Web Penetration Testing — Прахар Пасад
Очень хорошая книга с примерами поиска и эксплуатации уязвимостей. Подойдёт тем, кто ищет, с чего начать.
Mastering Kali Linux for Web Penetration Testing — Майкл Макфи
Тоже достойное издание, здесь много примеров использования софта для атак. Отлично дополнит предыдущую книгу.
METASPLOIT. The penetration testing guide — Дэвид Кеннеди, Джим О'Горман, Девон Кернс, Мати Аарони
Книга немного устарела, но тем не менее неплохо описывает, как работает Metasploit Framework. Подойдёт в качестве дополнительного материала тем, кто изучает возможности Metasploit.
«Kali Linux. Тестирование на проникновение и безопасность» — Алекс Замм, Шива Парасрам, Шакил Али, Джерард Йохансен, Теди Хериянто, Дамиан Буду, Ли Аллен.
Книга описывает развёртывание Kali Linux и тренировочных сред, а также ряд методов тестирования на проникновение. Подойдёт начинающим.
«Собираем устройства для тестов на проникновение» — Андрей Бирюков
В книге описано, как использовать устройства для реализации HID-атак. Пригодится тем, кто хочет глубже изучить вопросы сборки устройств для пентестов.
«Информационная безопасность. Защита и нападение» — Андрей Бирюков
Эта книга — своеобразное введение в вопросы ИБ с точки зрения атакующего, здесь всего понемногу. Рекомендуем тем, кто знакомится с профессией.
XSS Attacks: Cross Site Scripting Exploits and Defense — Антон Рагер, Роберт Хансен, Сет Фоги, Петко Д. Петков, Джеремайя Гроссман
Книга полностью посвящена XSS. Несмотря на то, что издана в 2007 году, актуальности почти не потеряла — все основные виды XSS рассмотрены.
Cybersecurity Attacks — Red Team Strategies. Иоганн Ребергер
В этой книге достаточно полно описано, как проводится red-team тестирование. Рекомендуется тем, кто уже что-то знает о пентесте.
«Прикладная криптография. Протоколы, алгоритмы и исходный код на языке C» — Брюс Шнайер
В книге подробно и на практике рассматриваются вопросы криптографической защиты информации. Это помогает понять процессы, которые происходят в рамках криптографической защиты информации.
«Кибербезопасность: стратегии атак и обороны» — Юрий Диогенес, Эрдаль Озкайя
Книга поэтапно описывает, как проводятся атаки и как их обнаруживать. Это полезно, чтобы понимать, какие процессы происходят в системе при взломе.
The Hacker Playbook 3: Practical Guide To Penetration Testing — Питер Ким
Здесь собраны практические сценарии разных атак при проведении пентеста.
«Анализ вредоносных программ» — К. Монаппа
Книга пригодится тем, кто планирует изучать анализ вредоносных программ. Но у неё есть недостаток — материал излагается поверхностно. Довольно подробно описывается софт, который можно использовать для анализа вредоносного ПО, но не поясняются особенности работы в ОС Windows.
«Внутреннее устройство Windows» — Марк Руссинович, Дэвид Соломон, Алекс Ионеску, Павел Йосифович
Если хотите понять, как устроена Windows, это издание для вас. Особенно полезно будет в сочетании с предыдущей книгой.
«Использование Docker» — Эдриен Моуэт
Сборник сценариев использования docker-контейнеров — от первых шагов до оркестрации и обеспечения безопасности. Пригодится всем, кто планирует работать с технологией контейнеров.
«Безопасный DevOps. Эффективная эксплуатация систем» — Джульен Вехен
Книга основана на уникальном опыте автора и предлагает важнейшие стратегические решения, которые помогут защитить веб-приложения от атак и предотвратить попытки вторжения. Вы поймёте, как обеспечить надёжность при автоматизированном тестировании, непрерывной поставке и ключевых DevOps-процессах. А ещё научитесь выявлять, оценивать и устранять уязвимости в вашем приложении.
Agile Application Security: Enabling Security in a Continuous Delivery Pipeline — Рич Смит, Лора Белл, Майкл Брантон-Сполл, Джим Бёрд
С помощью этого практического руководства вы изучите ряд инструментов и методов безопасности, специально адаптированных для интеграции с гибкой разработкой.
«Построение коммутируемых компьютерных сетей» — Е. Смирнова, А. Пролетарский, И. Баскаков, Р. Федотов
Книга описывает построение сетей на базе коммутаторов D-Link. Будет особенно полезна тем, кто собирается заниматься сетями и строить сетевые схемы на предприятии.
The Tangled Web: A Guide to Securing Modern Web Applications — Михал Залевский
Книга описывает безопасность клиентской части веб-приложений, начиная с самых основ: что такое URL, HTTP, Same Origin Policy и так далее — и заканчивая тонкостями реализации протоколов в популярных браузерах. Примечательна тем, что в ней приводится множество примеров того, как вещи, незначительные на первый взгляд, могут приводить к серьёзным уязвимостям. Книга вышла 9 лет назад, и многие примеры уже не встретить в реальном мире: вроде Internet Explorer, который уже практически не используется. Но общие подходы и проблемы, которые описаны в книге, до сих пор актуальны.
The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws — Давид Статтард, Маркус Пинто
Книга описывает структурированный подход к тестированию веб-приложений и то, как работают типовые уязвимости, которые в них встречаются. Полезно использовать как методологию для комплексного и полного тестирования веб-приложений.
«Обнаружение нарушений безопасности в сетях» — Стивен Норткат, Джуди Новак
В этой книге описываются аппаратные и программные средства противодействия атакам, а также приводятся рекомендации, как грамотно применять их. Теория изложена просто и наглядно, закрепляется на реальных примерах — и это позволяет даже неподготовленному читателю организовать надёжную защиту своей локальной сети или её отдельного узла. В отличие от многих подобных изданий, здесь описывается полная последовательность действий, которые надо предпринять в нестандартной ситуации. Книга рассчитана на системных администраторов, аналитиков сетевого трафика, а также всех, кто хочет понять принципы безопасной работы в сети.
«Хакинг: искусство эксплойта» — Джон Эриксон
Автор не учит применять известные эксплойты, а объясняет их работу и внутреннюю сущность. Сначала читатель знакомится с основами программирования на C, ассемблере и языке командной оболочки, учится исследовать регистры процессора. Затем приступает к хакингу — перезаписывает память, переполняя буфер, получает доступ к удалённому серверу, скрывая своё присутствие, и перехватывает соединения TCP. Изучив эти методы, можно взламывать зашифрованный трафик беспроводных сетей, успешно преодолевать системы защиты и обнаружения вторжений. Книга даёт полное представление о программировании, машинной архитектуре, сетевых соединениях и хакерских приёмах. С этими знаниями ваши возможности ограничены только воображением. Материалы для работы с этим изданием представлены в виде загрузочного диска Ubuntu Linux, который можно скачать и использовать, не затрагивая установленную на компьютере ОС.
Мы понимаем, что реальный опыт порой важнее учебников, но всё же спросим: а какие хорошие книги читали вы? Чем они вам помогли? Поделитесь в комментариях.
Сентябрь — отличное время, чтобы построить далеко идущие планы и начать идти к новым целям! Если вы хотите освоить профессию мечты, то с 1 по 11 сентября 2020 г. мы дарим вам скидку 40% почти на все программы обучения GeekBrains. Успехов! :)