2022年黑客书籍推荐
1 – The Hackers Playbook 2等级: 新手友好!如果我只能选择一本书,那就是它了。我从这本书开始,它对我帮助很大。当您刚开始时,它具有正确的速度。您将学习如何设置实验室,并了解专业渗透测试人员使用的所有知名工具。这本书可以被称为"渗透测试指南",而黑客的剧本3可以被称为"红队指南"。稍后我将介绍这两者之间的区别。我绝对建议在第三版之前阅读第二版。两者都是优秀的书籍,但第二版入
1 – The Hackers Playbook 2
等级: 新手友好!
如果我只能选择一本书,那就是它了。
我从这本书开始,它对我帮助很大。当您刚开始时,它具有正确的速度。您将学习如何设置实验室,并了解专业渗透测试人员使用的所有知名工具。
这本书可以被称为"渗透测试指南",而黑客的剧本3可以被称为"红队指南"。稍后我将介绍这两者之间的区别。我绝对建议在第三版之前阅读第二版。两者都是优秀的书籍,但第二版入门有点容易。
在本书中,除了学习如何设置实验室和 Kali Linux 之外,您还将了解:
被动发现 (OSINT)
密码列表
活动目录
漏洞扫描
开发
网络应用程序安全
如何在网络中移动
社会工程
密码破解
还有更多的事情。伟大的事情是,彼得真的把你当作一个初学者,这意味着他不会跳过他认为你知道的步骤。我喜欢这样的作家。话虽如此,你可能会发现我个人真的很喜欢这本书,并且不能推荐它。如果您必须选择一本书才能开始,那就是这个!
2 – The Hackers Playbook 3
等级: 新手友好!
黑客剧本3是其前身黑客剧本2的自然演变。这很容易成为我最喜欢的黑客书籍的前3名。我读过这两本书,第三本书甚至比第二本书高出一个档次。
Peter 将带您踏上渗透测试所有阶段的旅程。他帮助您设置渗透测试环境,然后引导您完成渗透测试,侦察,Web应用程序开发,妥协网络,社交工程技术,物理攻击,避免AV和IDS的所有步骤,当然还有利用。
本书对Web应用程序测试有很好的介绍,本书中有一个易受攻击的Web应用程序,它教你一些现在使用的新技术。最重要的是,还有针对NodeJS,SQL注入和一些高级XSS技术的攻击。我的许多朋友也读过这本书,并强烈推荐给每个初学者。
我从这本书中学到了很多东西。我多次学习它,因为其中教授的技术对于提高你的技能非常有价值。Peter Kim是一位优秀的老师。
我要提的是,这本书比第二版更难。这里的技术更加复杂,因此在购买第三版之前阅读第二版确实会让您受益匪浅。还有很多关于成为红队员与渗透测试员意味着什么的信息,这真的很有趣。
最后,你需要知道如何向你的客户报告你的发现,这本书也教你这一点。
我强烈建议将这本书添加到您的道德黑客图书库!
3 – Real-World Bug Hunting
级别: 初学者友好 – 中级
本指南的最新补充。如果你在过去的几个月里一直在社交媒体上关注我,或者一般来说,你知道我目前主要是在做Bug Bounty Hunting,并在这个领域进行自我教育。这本书非常新(于2019年发布)和最新。彼得是一位经验丰富的安全专家,他试图为这个领域零知识的人提供一个切入点 - 我认为他做到了这一点。这本书很容易成为我最喜欢的黑客书籍的前3名。
这本书写得很好,深入探讨了有关Web应用程序安全/Bug搜索的所有重要主题。在介绍了 Bug Bounty 基础知识之后,它将引导您了解所有最常见的 Web 漏洞类型,例如:
打开重定向
参数污染
跨站点请求伪造
HTML 注入
回车线进给注入
跨站点脚本
SQL 注入
SSRF
断续器
RCE’s
伊多尔
…还有更多。在对每个漏洞进行详细说明之后,类型会遵循一些通过Hackerone Bug赏金计划发现的真实漏洞的实际报告,包括有关如何发现该错误,发现位置以及它支付了多少费用的信息。看到这种信息使整个事情更容易理解,就像你在野外看到实际的例子一样。
在书的结尾,另一个非常有趣的部分等待着你:找到你自己的虫子赏金。
本节涵盖从侦测到应用程序测试以及如何自动执行测试等所有内容。
本书的最后一部分涵盖了报告写作,我认为这是一个非常重要的话题。彼得在解释事情方面做得很好,使复杂的主题很容易理解。你真的看到他多年的经验在这本书中得到了体现。
如果你想开始使用Bug Bounties,并且不想立即潜入一个庞然大物,那就是Web应用程序黑客手册,这就是你的书。我强烈推荐这本书给任何初学者,任何一天。
4 – RTFM: Red Team Field Manual
级别:所有级别
红队现场手册是黑客书籍的必备品。这不是你用来学习的书,这是一本红队参考指南。本指南包含常用 Linux 和 Windows 命令的基本语法。它还包括Python Scripts和Windows PowerShell提示。
我个人总是在执行任务或任何与黑客相关的旅行时随身携带这本书。我也有很多个人笔记和补充。对于这个价格,我绝对建议拿起一份。睡觉时把它放在枕头下面,随时随身携带。很棒的小书。
5 – Hacking: The Art of Exploitation, 2nd Edition
级别: 中级
你可能很难找到一个黑客/网络安全专家不会推荐这本书。《黑客:剥削的艺术》是《黑客图书》的真正经典之作。唯一的缺点是,它是在2008年最后一次更新的。好消息是,它的大部分内容在今天仍然具有相关性和价值。本书帮助你建立一个坚实的理论和技术基础,这将很好地转化为现代黑客工具。
本书涵盖了所有内容,您将学习一些编程,开发,网络,Shellcode,对策和密码学。坦率地说,我今天仍然推荐这本书。
请注意,这本书更适合高级用户。我不建议把这本书作为第一本书。在开始本书之前,你应该熟悉或对汇编有一个基本的概念。
6 – The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws
级别: 初级-中级
到目前为止,所有书籍都以Web应用程序黑客为主题的单独部分。本书专门讨论这个话题。Web Application Hacker’s Handbook是Web Application Testing的Hacking Books最好的书之一。这本书是由开发Burp Suite的人写的,Burp Suite是目前最受欢迎的Web应用程序测试框架。
如果你得到一本书,是由开发实际Web应用程序测试框架的人写的,你可以对其中的价值做出最好的选择。这是一本912页的书的庞然大物。它最后一次更新是在2011年,因此内容今天仍然非常相关。
如今,如果您想从事网络安全工作,则必须了解Web应用程序安全性。因此,许多公司使用Web应用程序,其中许多公司都有缺陷,因为它们开发不良或未更新。Web应用程序黑客手册可帮助您了解常见缺陷以及如何利用它们。你不会相信你会在现实世界中发现多少Web应用程序缺陷。
话虽如此,如果你真的想在网络安全领域工作,你会,或者不应该避免这本书。本书将带您逐步了解 Web 应用程序安全性,从一开始,直到您最终掌握该主题。强烈推荐添加到您的道德黑客书籍收藏中。
7 – Penetration Testing: A Hands-On Introduction to Hacking
等级:新手友好!
这本书是由安全专家、研究员和培训师乔治亚·魏德曼(Georgia Weidman)撰写的。渗透测试:黑客实践介绍教授每个渗透测试人员所需的基本技能。您将使用 Kali Linux 和几个易受攻击的虚拟机构建一个虚拟实验室,并将在此环境中运行多个方案。像Wireshark,Nmap和Burp Suite这样的工具正在本书中使用,其中包括许多其他工具。
您将学习如何破解密码,如何使用wordlist进行暴力破解无线网络,您将学习一些Web应用程序安全性,您将了解Metasploit框架,如何绕过防病毒软件以及如何控制虚拟机以破坏网络。这本书,就像Hacker的Playbook 3一样,对于有兴趣学习网络安全的人来说,这是一本很好的第一本书。
有些人真的很喜欢格鲁吉亚的解释技巧,并发誓,我个人认识的一些人也用它来准备OSCP测试。这本书有很多一步一步的内容,所以即使对于初学者来说也很容易理解。
警告:不幸的是,有几个人报告说,书中的部分实验室和外部材料不再可用。因此,只有当您知道自己要找什么时才购买它!您可以关注作者的Twitter帐户,因为她目前正在撰写该书的第二版!
8 – Kali Linux Revealed: Mastering the Penetration Testing Distribution
级别: 初级-高级
首先,这不是教你渗透测试的道德黑客书籍之一。这是一本教你Kali Linux的书。Kali Linux,以前称为Backtrack,是迄今为止最受欢迎的渗透测试发行版。因此,学习它对你来说是有意义的。虽然我不向初学者推荐Kali Linux,但如果你决定无论如何都要使用Kali Linux,我强烈建议你阅读Kali Linux Revealed。
在本書中,Kali 開發人員自己將帶你踏上運作系統的旅程,並幫助你最大限度地利用 Kali Linux。您将学习Kali Linux的所有基础知识,您将学习Linux的基础知识和概念,您将学习如何在各种不同的场景(笔记本电脑,台式机,服务器,虚拟等)中安装Kali Linux。最重要的是,您将学习如何配置软件包以及如何以正确的方式更新已安装的Kali。
它们甚至会带您完成大型企业网络中的部署等内容,以及内核编译、自定义 ISO 文件创建和加密等非常高级的主题。這就是為什麼我評價這本書初學者 - 進階級。无论你来自哪里,你绝对可以从这本书中学到一些新的东西。
不要被亚马逊的评分分散注意力,有些人显然无法阅读并抱怨这本书中没有教授渗透测试工具,这从一开始就不是它的意图。话虽如此,如果你和Kali一起工作,拿起这本书,它会把你带到一个新的水平,从长远来看,让你保持安全。你也可以看看我的文章,至少在安装Kali Linux作为初学者后做一些基本步骤。
9 – Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker
级别:所有级别
现在,人们可以争论这是否属于黑客书籍的范畴,但对我来说,它绝对符合。《电线中的幽灵》是有史以来最知名的黑客之一凯文·米特尼克(Kevin Mitnick)所著的一本书。那么,我为什么要推荐这本书呢?因为根据定义,它是一本黑客书籍。这本书讲述了凯文·米特尼克(Kevin Mitnick)的真实故事,他是一名计算机黑客,在1979年至1995年期间处于鼎盛时期,在逃亡数年后,他最终被联邦调查局逮捕。
凯文在16岁时入侵了他的第一个计算机系统,从那里开始,没有回头路。这本书很好地解释了黑客的思想是如何工作的,以及是什么驱使着他们。它让你深入了解黑客的心态,这正是我发现这本书非常有价值的原因。我不知道凯文在这本书中有多少夸张,但他讲述的大多数故事似乎都是非常合法的,并且处于可能性的范围内,特别是因为其中许多故事得到了美联储或他以前的朋友/敌人的证实。
我很快就读完了这本书,读起来很开心,以至于我在一周内就读完了它,这对我来说是非常不寻常的。
话虽如此,不要只专注于学习,还要关注乐趣,这本书绝对很有趣!每个想成为黑客的必读书!
顺便说一句,Kevin自2000年以来一直是一位非常成功的安全顾问,他为财富500强公司提供咨询,并…联邦调查局(笑)。所以你可以看到,他已经长大了,现在是一个道德黑客。他还出版了其他几本关于社会工程学以及如何在互联网上保持安全的书。
10 – Advanced Penetration Testing: Hacking the World’s Most Secure Networks
级别: 高级
我必须在这个Hacking Books列表中至少包含一本更高级的书,以满足每个人的需求。但是,不,真的,高级渗透测试最近获得了很大的吸引力。它涵盖了ATP(高级渗透测试)。这意味着它教给你的现实世界技术远远超出了通常的Kali Linux工具。您将学习工具的实际工作原理,以及如何从头到尾编写自己的工具。
这有助于您更好地了解您使用的工具的实际工作原理,使您比任何能够使用开箱即用工具的人更具优势。
它还涵盖了一些社会工程。很多更高级的人向我推荐了这本书。
这将是一本好书,在你完成Hacker’s Playbook和Web Application Hacker’s Handbook之后,你可以拿起这本书。但实际上,请注意,这只适用于高级人员!
11 – Honorable Mention: Hacking mit Metasploit
级别: 初级-高级
语言: 德语
不幸的是,对于每个不会说德语的人来说,Hacking mit Metasploit不适合你,除了你可以翻译它。我想在这里提到它,因为它是我读过的最好的关于Metasploit的书。作者Michael Messner是Metasploit团队的开发人员,并不断为该项目做出贡献。
他对Metasploit框架有深入的了解,并且有一个很好的方式来教你所有你需要知道的关于Metasploit的事情。
我想向所有会说德语的人提到它,我希望有一天这本书的英文版能让你们所有人享受。
更多推荐
所有评论(0)