vendredi 30 octobre 2009

review "Hacking: The Next Generation"



  1. Chapter 1 Intelligence Gathering: Peering Through the Windows to Your Organization

    1. Physical Security Engineering

    2. Google Earth

    3. Social Engineering Call Centers

    4. Search Engine Hacking

    5. Leveraging Social Networks

    6. Tracking Employees

    7. What Information Is Important?

    8. Summary

  2. Chapter 2 Inside-Out Attacks: The Attacker Is the Insider

    1. Man on the Inside

    2. Cross-Site Scripting (XSS)

    3. Cross-Site Request Forgery (CSRF)

    4. Content Ownership

    5. Advanced Content Ownership Using GIFARs

    6. Stealing Files from the Filesystem

    7. Summary

  3. Chapter 3 The Way It Works: There Is No Patch

    1. Exploiting Telnet and FTP

    2. Abusing SMTP

    3. Abusing ARP

    4. Summary

  4. Chapter 4 Blended Threats: When Applications Exploit Each Other

    1. Application Protocol Handlers

    2. Blended Attacks

    3. Finding Blended Threats

    4. Summary

  5. Chapter 5 Cloud Insecurity: Sharing the Cloud with Your Enemy

    1. What Changes in the Cloud

    2. Attacks Against the Cloud

    3. Summary

  6. Chapter 6 Abusing Mobile Devices: Targeting Your Mobile Workforce

    1. Targeting Your Mobile Workforce

    2. Summary

  7. Chapter 7 Infiltrating the Phishing Underground: Learning from Online Criminals?

    1. The Fresh Phish Is in the Tank

    2. Examining the Phishers

    3. The Loot

    4. Infiltrating the Underground

    5. Summary

  8. Chapter 8 Influencing Your Victims: Do What We Tell You, Please

    1. The Calendar Is a Gold Mine

    2. Social Identities

    3. Hacking the Psyche

    4. Summary

  9. Chapter 9 Hacking Executives: Can Your CEO Spot a Targeted Attack?

    1. Fully Targeted Attacks Versus Opportunistic Attacks

    2. Motives

    3. Information Gathering

    4. Attack Scenarios

    5. Summary

  10. Chapter 10 Case Studies: Different Perspectives

    1. The Disgruntled Employee

    2. The Silver Bullet

    3. Summary

J'ai lu une partie de ce bouquin (pas tout ne m'intéressait dans son contenu). Ce n'est pas du très haut niveau, mais ce qui est décrit dans ce livre s'applique finalement aussi bien pour des entreprises, que pour des particuliers (après tout, le social engineering a toujours très bien fonctionné).
Quand je dis que ce n'est pas du très haut niveau, j'entends par là au niveau technique. De toutes façons, dans une majorité de cas, pour réussir un pentest, il n'y a pas besoin de savoir faire du ret-into-libc (oui bon ok il y a largement mieux que ça, elle est vieille la blague (sortie des tréfonds d'IRC il y a longtemps), moi aussi) tous les matins au petit déjeuner.
Quelques études de cas sont données à la fin, pour la mise en application de la plupart des "techniques" décrites dans le bouquin, afin d'expliquer en gros comment le gros vilain hacker fait pour nuire. Ce n'est pas encore comparable à la série de bouquins "stealing the network", mais ça reste très intéressant.
Ce livre n'est pas un "must", mais chacun y trouvera son intérêt.

Publié par MeiK le 10/30/2009

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)