サイバーセキュリティテスト完全ガイド Kali Linuxによるペネトレーションテスト
- 著作者名:Peter Kim
- 翻訳者名:株式会社クイープ
- 監訳者名:保要隆明、 前田優人、 美濃圭佑、 八木橋優
-
- 書籍:3,718円
- 電子版:3,718円
- B5変型判:400ページ
- ISBN:978-4-8399-5955-5
- 発売日:2016年08月01日
- 備考:初中級、Linux
- Tweet
- mixiチェック
内容紹介
セキュリティのプロならばこれを読め!"敵の手の内を知る"テクニックを実践解説。
本書はサイトの脆弱性をテストするペネトレーションテストについて解説した「The Hacker Playbook 2(ISBN1512214566)」の翻訳書籍です。
情報システムのセキュリティを考えるとき、敵を知らなければシステムを守ることはできません。昨今では攻撃者視点での安全性評価の重要性が広く認知され、自分達のシステムに対してセキュリティテストを実施する企業や組織も多くなっています。
本書では、そうしたセキュリティテストと同様に、攻撃者がどのようなツールを使ってシステムへの侵入を試みるのか、どのような手口でシステムの脆弱性を探すのかといった攻撃者視点でのシステムの見方を紹介しています。
また、セキュリティテストに直接携わるわけではない開発者の方にも本書は有用です。記載されたさまざまな攻撃手法によって、自分達のシステムの情報がどこまで暴かれてしまうのかを知ることで、システム構築時に何を意識すればより安全なシステムを構築できるようになるのかを把握できます。本書を読むことでシステムの欠陥をよく理解できるようになることを願っています。ただしセキュリティテストは書面による許可を受けたシステムでのみ行うことをよく覚えておいてください。自らの技術力や知識レベルを磨き上げる日々の修練にも役立つ書籍です。
対象読者:多少なりともMicrosoft Active Directory の経験があり、Linuxを十分に理解しネットワーキングの基礎知識があり、コーディングの経験(Bash、Python、Perl、Ruby、C などの経験があれば十分)があること、脆弱性スキャナーやMetasploitなどのエクスプロイトツールを使用した経験があることを前提としています。
充実のラインナップに加え、割引セールも定期的に実施中!
商品を選択する
| フォーマット | 価格 | 備考 | |
|---|---|---|---|
備考
Peter Kim(ペーター キム)
侵入テスト事業を展開するグローバル企業Secure Planet, LLC のCEO/President。セキュリティ分野に10年ほど携わっており、過去7年間はペンテスターとして活躍している。Kim の調査結果は、Wired.com やCNN.com など、さまざまなメディアで取り上げられている。
Kim はSec+、GCIH、GCWN、GWAPT、GXPN、GMOB からさまざまな認定資格を取得している。この数年間は、メリーランド州のハワードコミュニティカレッジで侵入テストとネットワークセキュリティの講師をしている。Kim はLETHAL(L.a. Ethical Technical Hackers And Leets)の発起人でもある。LETHALはカリフォルニア州サンタモニカを拠点とするセキュリティハッカースペースである(LETHALの詳細については、meetup.com/LETHALにアクセスするか、KimのブログSecurePla.netを参照)。
関連ページ
- サポートサイト https://book.mynavi.jp/supportsite/detail/9784839959555.html
- 原著(The Hacker Playbook 2)サポートサイト http://thehackerplaybook.com/
- Github https://www.github.com/cheetz
目次
はじめに第1章 試合の前に ― セットアップ
1.1 ラボの構築
1.2 侵入テストマシンの構築
1.3 学習
1.4 まとめ
第2章 スナップ前に ― ネットワークのスキャン
2.1 パッシブディスカバリ ― オープンソースインテリジェンス
2.2 パスワードリストの作成
2.3 アクティブディスカバリ ― 外部スキャニングと内部スキャニング
2.4 脆弱性スキャニング
2.5 Webアプリケーションのスキャニング
2.6 Nessus、nmap、Burpの解析
2.7 まとめ
第3章 ドライブ ― スキャン結果のエクスプロイト
3.1 Metasploit(Windows/Kali Linux)
3.2 スクリプト
3.3 プリンター
3.4 Heartbleed
3.5 Shellshock
3.6 Gitリポジトリダンプ(Kali Linux)
3.7 NoSQLMap(Kali Linux)
3.8 Elastic Search(Kali Linux)
3.9 まとめ
第4章 スロー ― 手動によるWebアプリケーションのテスト
4.1 Webアプリケーションの侵入テスト
4.2 SQLインジェクション
4.3 手動によるSQLインジェクション
4.4 クロスサイトスクリプティング(XSS)
4.5 クロスサイトリクエストフォージェリ(CSRF)
4.6 セッショントークン
4.7 その他のファジングと入力の検証
4.8 OWASPの脆弱性トップ10
4.9 機能とビジネスロジックのテスト
4.10 まとめ
第5章 ラテラルパス ― ネットワーク内の移動
5.1 クレデンシャルがない状態でのネットワークアクセス
5.2 ARPポイズニング
5.3 管理者以外のドメインアカウントの使用
5.4 ローカル管理者またはドメイン管理者アカウントの使用
5.5 ドメインコントローラの攻撃
5.6 持続型攻撃
5.7 まとめ
第6章 スクリーンパス ― ソーシャルエンジニアリング
6.1 ドッペルゲンガードメイン
6.2 フィッシング
6.3 フィッシングレポートの作成
第7章 オンサイドキック ― 物理的なアクセスが必要な攻撃
7.1 無線ネットワークのエクスプロイト
7.2 バッジクローニング
7.3 Kon-Boot(Windows/Mac OS X)
7.4 ペネトレーションドロップボックス ― Rasberry Pi 2
7.5 Rubber Ducky
7.6 まとめ
第8章 クォーターバックスニーク ― アンチウイルススキャナーの回避
8.1 アンチウイルススキャナーの回避
8.2 その他のキーロガー
8.3 まとめ
第9章 スペシャルチーム ― クラッキング、エクスプロイト、トリック
9.1 パスワードクラッキング
9.2 脆弱性の検索
9.3 ヒントとトリック
9.4 有償のツール
第10章 ツーミニッツドリル ― ゼロからヒーローへ
10.1 10ヤードライン
10.2 20ヤードライン
10.3 30ヤードライン
10.4 50ヤードライン
10.5 70ヤードライン
10.6 80ヤードライン
10.7 ゴールライン
10.8 タッチダウン!
第11章 ゲーム終了後の分析 ― レポート
第12章 生涯教育
バグバウンティ / 主なセキュリティカンファレンス / トレーニングコース / フリートレーニング / CTF / 最新情報の取得 / メーリングリスト / ポッドキャスト / 攻撃から学ぶ
おわりに
謝辞
