The Best Hacking Books 2018
Una de las preguntas más populares y más frecuentes desde que comencé este blog es si puedo recomendar algunos buenos libros de hacking para leer para principiantes y hackers experimentados y pentesters. En este artículo, quiero resaltar algunos libros de hackeo y libros de InfoSec que me gustaron personalmente que cubren temas como hacking ético, pruebas de penetración, pruebas de penetración de aplicaciones web y otros temas relacionados con InfoSec. Además de los títulos universitarios, las certificaciones y los cursos, la superación de desafíos y la capacitación práctica, los libros son una fuente inestimable de información para mantener su conocimiento actualizado y adquirir nuevas habilidades. Ya sea que sea un principiante en el campo de InfoSec o un profesional con experiencia, el dominio de nuevas habilidades abrirá muchas puertas y le permitirá avanzar en su carrera más rápido.
El secreto para convertirse en un (mejor) pentester o profesional de TI no solo es enfocarse en libros de pruebas de penetración sino también leer libros sobre temas relacionados como: redes, programación, desarrollo de exploits, aplicaciones web, monitoreo de seguridad de redes y otros temas de TI. Tener al menos un poco de conocimiento teórico sobre estos temas te ayuda mucho a mirar la seguridad de la información desde diferentes ángulos y perspectivas. Por esta razón, no solo incluiré libros de hackeo en este artículo, sino también libros sobre temas relacionados que consideré lo suficientemente importantes como para leer. En mi opinión, todos los profesionales de TI serios deberían leer al menos un libro por mes y espero que este artículo lo ayude a descubrir su próximo libro de InfoSec para leer.
El secreto para convertirse en un (mejor) pentester o profesional de TI no solo es enfocarse en libros de pruebas de penetración sino también leer libros sobre temas relacionados como: redes, programación, desarrollo de exploits, aplicaciones web, monitoreo de seguridad de redes y otros temas de TI. Tener al menos un poco de conocimiento teórico sobre estos temas te ayuda mucho a mirar la seguridad de la información desde diferentes ángulos y perspectivas. Por esta razón, no solo incluiré libros de hackeo en este artículo, sino también libros sobre temas relacionados que consideré lo suficientemente importantes como para leer. En mi opinión, todos los profesionales de TI serios deberían leer al menos un libro por mes y espero que este artículo lo ayude a descubrir su próximo libro de InfoSec para leer.
Tenga en cuenta que las listas de los libros no son una clasificación sino una mera descripción general de los libros que recomiendo a los lectores de Hacking Tutorials. Actualizaré este artículo regularmente con nuevos libros.
Penetration Testing: A Hands-On Introduction to Hacking
El primer libro que quisiera recomendar es un libro de hacking que ha ayudado a muchas personas a dar sus primeros pasos en el hacking ético y las pruebas de penetración. Pruebas de penetración: una introducción práctica al hacking está escrita por Georgia Weidman y es un buen libro para cualquier persona nueva en los temas, ya que generalmente se centra en los principiantes. El autor de este libro cubre muchos temas diferentes, como la creación de un laboratorio para la enumeración, la explotación, la hacking móvil y mucho más. Lo que personalmente me gusta de este libro es que el autor explica cada paso del proceso en detalle y también lo relaciona con su amplia experiencia en el campo como pentester; Entonces, si eres nuevo en las pruebas de penetración sin experiencia previa, ¡este libro es un gran lugar para comenzar un viaje emocionante!
De acuerdo con el autor en Twitter, ella está escribiendo una versión actualizada de V2 de este libro, ¡síguela para recibir actualizaciones! Si bien este libro todavía es muy apreciado por muchos (incluido yo) y ayudó a muchas personas a dar sus primeros pasos en el campo de las pruebas de penetración, algunas partes del libro (incluidas las URL) están un poco desactualizadas. Si estás de acuerdo con esto, asegúrate de consultar las actualizaciones de este libro en el sitio web de los autores. De lo contrario, recomendaría esperar hasta que se publique la V2 actualizada de este libro.
De acuerdo con el autor en Twitter, ella está escribiendo una versión actualizada de V2 de este libro, ¡síguela para recibir actualizaciones! Si bien este libro todavía es muy apreciado por muchos (incluido yo) y ayudó a muchas personas a dar sus primeros pasos en el campo de las pruebas de penetración, algunas partes del libro (incluidas las URL) están un poco desactualizadas. Si estás de acuerdo con esto, asegúrate de consultar las actualizaciones de este libro en el sitio web de los autores. De lo contrario, recomendaría esperar hasta que se publique la V2 actualizada de este libro.
The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws 2nd Edition
Este fantástico libro de hacking de aplicaciones web es una lectura obligada para cualquier persona que esté interesada en las pruebas de penetración de aplicaciones web y que cubre todo lo que necesita saber sobre este tema. El Web Hacker's Handbook: Finding and Exploiting Security Flaws 2nd Edition está escrito por el fundador de Portswigger, que es la compañía detrás de la popular herramienta de análisis y pruebas de seguridad llamada Burp Suite. Este libro le enseña paso a paso cómo probar la seguridad de las aplicaciones web de principio a fin. Una cosa que me gusta particularmente de este libro es que explica diferentes tecnologías web, cómo explotarlas y cómo defenderse contra el ataque en particular. Además, este libro cubre los aspectos más básicos que un pentester de aplicaciones web necesita conocer en profundidad, como el funcionamiento del protocolo HTTP para comprender mejor las comunicaciones entre un servidor web y un visitante que ayuda a comprender los ataques y la defensa.
Advanced Penetration Testing: Hacking the world’s most secure networks
En 2017, he leído este libro y escribí un artículo de revisión de libros. Puede que este libro no sea el primero que leen los principiantes, aunque pone todo lo que lee sobre las pruebas de penetración en la perspectiva correcta. En este libro, el autor cubre la simulación de ataques complejos y el modelado de Amenaza persistente avanzada (APT) con técnicas que van mucho más allá del uso de Metasploit y los escáneres de vulnerabilidades. cubre temas como ingeniería social, redes altamente seguras, malware, creación y configuración de servidores C2 y estructuras C & C e incluso técnicas avanzadas de exfiltración de datos. Cada capítulo describe el modelado APT en una industria específica, como un hospital, una compañía farmacéutica o un banco. El colapso en la industria también le da al lector una visión clara de cómo las industrias específicas tienen diferentes activos para proteger, cómo están protegidos y por quién. Finalmente, el autor es un tester de penetración / teamero rojo con mucha experiencia, por lo que los ejemplos y el contexto de los escenarios proporcionados en el libro provienen directamente del campo. ¡LECTURA OBLIGATORIA!
The Shellcoder’s Handbook: Discovering and Exploiting Security Holes 2nd Edition
Escrito por el último grupo de expertos en seguridad, este libro cubre todo lo que necesita sobre cómo encontrar agujeros de seguridad en los sistemas operativos y aplicaciones. Trabajará con los componentes básicos de los errores de seguridad, el ensamblador, el código fuente, la pila, el montón, etc. Los requisitos previos de este libro requieren que tengas conocimientos básicos de programación y comprensión de los conceptos de TI, pero en mi opinión esto no es suficiente. Este libro está escrito por expertos sin muchas presentaciones o conceptos básicos, lo que hace que este libro sea bastante difícil de leer y definitivamente no es una broma. Si conoce bien los conceptos de programación, x86, ensamblaje, desarrollo de exploits y desea aprender más sobre varios tipos de exploits avanzados como desbordamiento de pila y desarrollo de exploits, Programación orientada hacia devoluciones, Fuzzing, manejo de ASLR / DEP y mucho más, este libro es para ti. Si tienes menos conocimiento técnico y eres un principiante en estos temas, probablemente terminarás investigando muchas de estas cosas como un efecto secundario de la lectura de este libro (¡lo que no está nada mal!).
Red Team: How to Succeed By Thinking Like the Enemy
RED TEAM: Cómo triunfar pensando como el enemigo está escrito por el experto en seguridad nacional Micah Zenko. En este libro, el autor proporciona información detallada sobre el trabajo de los equipos rojos, cómo funcionan, las mejores prácticas y las trampas más comunes, y las aplicaciones efectivas del enfoque de los defensores del diablo en la actualidad. Al principio, puede que se pregunte por qué incluyo este libro en una descripción general de hackers / InfoSec, ya que este libro no cubre temas técnicos o herramientas de creación de redes rojas. Pero, cuando hayas leído este libro, has aprendido cómo las mejores prácticas de teaming rojo pueden arrojar resultados impresionantes al pensar como el enemigo y considerar un análisis alternativo para revelar las debilidades en los sistemas y procesos.
Lo que también me gusta de este libro es que el autor cubre muchos escenarios comerciales y deficiencias de su experiencia que cualquier persona que haya trabajado en organizaciones medianas o grandes puede relacionarse.
El libro también incluye una gran cantidad de ejemplos de ejercicios efectivos e ineficaces para formar equipos rojos y una clara revisión de lecciones aprendidas de estos ejercicios. Entonces, si está buscando una excelente introducción al trabajo en equipo rojo y le interesa la historia del trabajo en equipo, la teoría detrás de esto, las mejores prácticas y trampas, el pensamiento crítico y el análisis alternativo, y cómo operar equipos rojos, este libro es una lectura obligada
Web Hacking 101
Web Hacking 101 ha sido escrito por Peter Yaworski (con un prólogo de los cofundadores de HackerOne, Michiel Prins y Jobert Abma) y explica vulnerabilidades comunes encontradas en aplicaciones web que utilizan informes de vulnerabilidades divulgados públicamente sobre programas de bonificación de errores. El libro cubre informes de vulnerabilidades en Cross site scripting (XSS), Cross site request forgery (CSRF), Remote Code Execution (RCE) y muchos más tipos de vulnerabilidad. Cada informe es analizado por el autor e incluye detalles sobre la vulnerabilidad, una descripción clara y la recompensa que se pagó. Con este libro, no solo aprenderá sobre las vulnerabilidades y cómo fueron explotadas, sino también su contexto, el impacto y cómo reconocerlas en su propia búsqueda de recompensas de errores. Finalmente, el libro también proporciona una descripción general de las plataformas de recompensas de errores, herramientas, blogs y algunas hojas de trucos para comenzar a buscar recompensas de errores de inmediato. El libro está disponible en Leanpub.com por un precio tan bajo como $ 9.99.
Applied Network Security Monitoring: Collection, Detection and Analysis
Applied Network Security Monitoring es una gran guía práctica sobre Network Security Monitoring (NSM) que cubre el tema desde cero. Este excelente libro te ayuda a convertirte en un analista de NSM y te enseña los conceptos clave de NSM acompañados por muchos tutoriales prácticos y ejemplos de la vida real. Applied Network Security Monitoring es uno de los mejores libros que he leído sobre este tema hasta ahora. Los autores del libro, Chris Sanders y Jason Smith, tienen mucha experiencia en el campo de Monitoreo de seguridad de red y también saben cómo enseñarlo a otros de una manera que es muy interesante y fácil de entender si eres nuevo en el campo. tema. ¡Casi hacen que NSM parezca fácil! El autor también ofrece cursos en línea y capacitación en su sitio web que definitivamente vale la pena consultar.
Finalmente, el libro está dividido en tres secciones principales (Colección, Detección y Análisis) que lo guían a través de todas las etapas del proceso de NSM. Cada sección contiene ejemplos prácticos y cobertura práctica de las herramientas necesarias, lo que hace que sea muy fácil aprender el lado práctico de NSM junto con la lectura del libro. El libro proporciona una cobertura práctica exhaustiva de Snort, Suricata, Bro-IDS, SiLK, PRADS y muchas otras herramientas.
Finalmente, el libro está dividido en tres secciones principales (Colección, Detección y Análisis) que lo guían a través de todas las etapas del proceso de NSM. Cada sección contiene ejemplos prácticos y cobertura práctica de las herramientas necesarias, lo que hace que sea muy fácil aprender el lado práctico de NSM junto con la lectura del libro. El libro proporciona una cobertura práctica exhaustiva de Snort, Suricata, Bro-IDS, SiLK, PRADS y muchas otras herramientas.