Empfehlung Buch Pentest

[tim91]

Hallo Leute,

 

ich würde mich gerne ein wenig mehr mit dem Thema Pentesting, Hacking usw beschäftigen . Wireshark hab ich schon durchgespielt und es ist hier zuhause im Heimnetzwerk einfach nur noch langweilig.

 

Programmieren bin ich ein wenig unterm Durchschnitt in meiner Klasse. Rest würde ich sagen so in der vorderen Mitte.

Bin seit Januar in der Umschulung.

 

Viele Bücher sind da wohl wirklich nur für Leute geeignet, die schon in diesem Bereich arbeiten, weshalb ich mir relativ unsicher bin und in der Schule geht ist mir zumindest in diesem Thema einfach zu langsam vorwärts.

 

Welches Buch ist da eurer Meinung nach für mich geeignet?

[RAM_Rakete]

vor einer Stunde schrieb devmen:

Wireshark hab ich schon durchgespielt

wow du hast in 8 Monaten Wireshark durchgespielt, das mag ich jetzt mal stark zu bezweifeln.

Außerdem bist du doch nicht beschränkt auf dein Heimnetzwerk, mit VM´s kannst du doch allerlei machen, aber das hast du sicher schon deswegen bist du Wireshark Profi.

vor einer Stunde schrieb devmen:

Viele Bücher sind da wohl wirklich nur für Leute geeignet, die schon in diesem Bereich arbeiten, weshalb ich mir relativ unsicher bin und in der Schule geht ist mir zumindest in diesem Thema einfach zu langsam vorwärts.

also du suchst die Eierlegende Wollmilchsau, Fachbücher sind dir zu komplex und der Unterricht ist für dich zu einfach?

Mein Rat wäre dem Unterricht zu folgen und Themen die du glaubst schon gut zu beherrschen einfach mal tiefer in die Materie zu gehen.

Es ist nicht böse gemeint aber ich erkenne da eine leichte Selbstüberschätzung 

[alex123321]

Investier die 10€, hol dir nen Monat Tryhackme und starte den beginner kurs.

Bücher sind langweilig und mit Hands-On lernt man deutlich mehr. Viel Spaß.

[Infinity246]

kann mich meinem Vorposter in den meisten Aussagen anschließen. Komischerweise sind in diesem Forum extrem viele Azubis/Umschüler extrem cocky und denken schon, sie wissen so viel. Jetzt nicht direkt auf dich bezogen, man kann dies aber schon ein wenig raushören.

Nichtsdestotrotz: Ich habe mir das Buch "Hacking und IT-Security für Einsteiger" von Max Engelhardt geholt. Ich kann es sehr empfehlen, deckt erstmal zum Einstieg die ganzen Begriffe ab und was Hacking überhaupt bedeutet. Dazu kommen IT-Grundlagen wie ISO/OSI und eig. alle relevanten Protokolle.

Weiter hinten kommen dann die "lustigeren" Sachen, sprich Kali Linux anwerfen und aktives Scannen von Netzwerken  oder Credentials abgreifen.

Natürlich kannst du direkt dich in Hacking/IT-Security einarbeiten, aber meiner Meinung nach kann es schnell komplex werden und somit würde ich dir raten, erstmal die Grundlagen dir anzuschaffen.

da Alex gerade geantwortet hat: TryHackMe kann ich auch sehr empfehlen, bringt einen guten und verständlichen Einstieg.

[tim91]

kann mich meinem Vorposter in den meisten Aussagen anschließen. Komischerweise sind in diesem Forum extrem viele Azubis/Umschüler extrem cocky und denken schon, sie wissen so viel. Jetzt nicht direkt auf dich bezogen, man kann dies aber schon ein wenig raushören.
Nichtsdestotrotz: Ich habe mir das Buch "Hacking und IT-Security für Einsteiger" von Max Engelhardt geholt. Ich kann es sehr empfehlen, deckt erstmal zum Einstieg die ganzen Begriffe ab und was Hacking überhaupt bedeutet. Dazu kommen IT-Grundlagen wie ISO/OSI und eig. alle relevanten Protokolle.
Weiter hinten kommen dann die "lustigeren" Sachen, sprich Kali Linux anwerfen und aktives Scannen von Netzwerken  oder Credentials abgreifen.
Natürlich kannst du direkt dich in Hacking/IT-Security einarbeiten, aber meiner Meinung nach kann es schnell komplex werden und somit würde ich dir raten, erstmal die Grundlagen dir anzuschaffen.
da Alex gerade geantwortet hat: TryHackMe kann ich auch sehr empfehlen, bringt einen guten und verständlichen Einstieg.

Umschüler und Azubis klingt so abwertend .
Ich habe im vorherigen Beruf die Erfahrung gemacht, dass Leute mit Studium ein paar Jahre später kaum noch etwas können, da sie eher in der Leitung arbeiten und ihr Wissen verkümmert. Wie es in der IT wird, dass wird sich noch zeigen.

Ich finde Wireshark nunmal nach 6 Monaten regelmäßiger Beschäftigung nicht mehr so spannend. Entschuldigung hierfür, falls ich dich damit gekränkt habe.

Buch ist bestellt.

[Infinity246]

hm? ich habe nichts zu Wireshark gesagt.

und es heißt doch nicht gleich, dass Akademiker = Leitungsposition.. du kannst mit Studium auch alle anderen Berufsfelder machen, sei es Admin, Entwickler, Sicherheitsspezialist, Cloud Engineer und alles andere.

[tim91]

hm? ich habe nichts zu Wireshark gesagt.
und es heißt doch nicht gleich, dass Akademiker = Leitungsposition.. du kannst mit Studium auch alle anderen Berufsfelder machen, sei es Admin, Entwickler, Sicherheitsspezialist, Cloud Engineer und alles andere.

Dein Kommentar mit dem Bezug zum vorherigen. Hmm, dass würde jetzt hier zu nichts führen.

Danke für die Empfehlung.
Bin gespannt und auch echt krass, was für gute Bewertungen es hat.
Habe gelesen, dass da aber nichts drinsteht zum verschleiern der Identität, falls damit nicht die standartsachen gemeint sind, die man so macht um sich im Netz vor Google Analytics usw zu verstecken.

[pentester]

Es gibt auch genug theoretische Literatur zum Thema Penetration Testing, die online frei verfügbar ist:

• OWASP Testing Guide
• OSSTMM3 - Open Source Security Testing Methodology Manual
• OWASP Mobile Security Testing Guide
• BSI-Studie Durchführungskonzept für Penetrationstest
• Mobile Application Security Verification Standard (MASVS)

Das sind im Prinzip alles grundlegende Dokumente zur Vorgehensweise von Penetrationstests usw... Wireshark ist ein guter bzw der Netzwerk-Sniffer. Ansonsten einfach mal bei "man nmap" anfangen ;-)... es braucht auch kein Kali Linux dazu.

Bearbeitet 4. Oktober 2022 von pentester

[alex123321]

Am 4.10.2022 um 16:28 schrieb pentester:

• OWASP Testing Guide
• OSSTMM3 - Open Source Security Testing Methodology Manual
• OWASP Mobile Security Testing Guide
• BSI-Studie Durchführungskonzept für Penetrationstest
• Mobile Application Security Verification Standard (MASVS)

Ist das der richtige Einstiegspunkt ins Pentesting wenn man keine Ahnung vom Thema hat?

Ich hab nur mal die BSI Studie durchgeblättert. Ist genau so wie ich mir ein Dokument eines öffentlichen Trägers vorstelle. 20 Seiten Paragraphen und Gesetze gefolgt von 50 Seiten Checkliste. Der beste Weg das Interesse sofort einzustampfen.

[pentester]

Am 9.10.2022 um 11:39 schrieb alex123321:

Ist das der richtige Einstiegspunkt ins Pentesting wenn man keine Ahnung vom Thema hat?

Ich hab nur mal die BSI Studie durchgeblättert. Ist genau so wie ich mir ein Dokument eines öffentlichen Trägers vorstelle. 20 Seiten Paragraphen und Gesetze gefolgt von 50 Seiten Checkliste. Der beste Weg das Interesse sofort einzustampfen.

Ich gehe jetzt einmal davon aus, dass wir hier von Penetration Testing im Sinne von "guter Hacker will legal für Kunden arbeiten und Geld verdienen" reden - man sich also nicht auf dem Niveau befindet, jetzt "kali linux lernen" zu wollen. Als erstes hatte ich den OWASP Testing Guide angeführt, für Webanwendunge & Co ist das hier schon die Referenz. An dem Buzzword-Bingo aus der BSI Studie kommt man im deutschen Markt nicht herum... ich kann nichts dafür, dass du zuerst das BSI-Dokument geöffnet hast ;-).

Ist das jetzt die richtige Literatur für den Starter des Threads, der Wireshark schon "durchgespielt" hat? Weiß ich nicht, aber so sieht man, was Penetration Testing wirklich ist. Ich muss ja kein Interesse erzeugen oder hoch halten, aber Pentesting ist halt nicht starte Metasploit, führe AD exploit aus, roote sofort die Company und stelle 20k in Rechnung.

[charmanta]

schaut Euch mal die Videos von Hacker Loi im YT an.

Er redet leider zu schnell, aber seine Demos und PoCs sind schon beeindruckend.

Ich finde das Buch hier recht gut:

https://www.amazon.de/gp/product/3826691679/ref=ppx_yo_dt_b_search_asin_title?ie=UTF8&psc=1

Ansonsten:

Mietet Euch ne Linux Kiste bei XXX und schaut einfach, wie häufig und von wo aus die via ssh angegriffen wird.

Dazu vielleicht nen Webserver mit MariaDB aufsetzen und schauen ob da ungültige SQL Anfragen entstehen

Learning by doing. So ein richtig geiles Buch kenn ich nicht

[pentester]

Dies sollte auch eine vernünftige Einführung bieten:

Wiki - Pentest Training

Stellenweise wird auf das Labor verwiesen, das als Schulung verkauft wird. Aber die grundlegende Einführung in Pentesting ist jetzt frei verfügbar.

 

[mojoo]

Wies ein Kommentar vorher schon erwähnt hatte. Melde dich bei TryHackMe oder HacktheBox an und fang mit den kostenlosen Grundkursen an da bekommt man schon echt viel mit. Wenn dir das dann nicht reicht kannst du dir die Premium Version holen, in der ist dann nochmal deutlich mehr drin. Ich hab die Premiumversion seit ca einem Jahr und bin damit völlig zufrieden was an Wissen alles Vermittelt wird. Einziger "Nachteil" ist das die Seite komplett in Englisch ist, wobei du als Pentester sowieso gut Englisch können musst.

[Parser]

Sebastian Schreiber ist mW ein ziemlicher Experte auf dem Gebiet Pentesting. Er hat auch ein Unternehmen in dem Bereich gegründet. Ich war mal auf einem Live Hacking Vortrag von ihm.

Er hat auch ein Buch geschrieben , hier:

https://link.springer.com/book/10.1007/978-3-658-23765-3

 

[Tiwil]

Am 26.11.2022 um 19:28 schrieb Parser:

Sebastian Schreiber ist mW ein ziemlicher Experte auf dem Gebiet Pentesting. Er hat auch ein Unternehmen in dem Bereich gegründet. Ich war mal auf einem Live Hacking Vortrag von ihm.

Er hat auch ein Buch geschrieben , hier:

https://link.springer.com/book/10.1007/978-3-658-23765-3

 

Das Buch ist aber nicht nur von ihm. Und das Kapitel von ihm zum Thema Pentest ist an Nicht-Experten gerichtet und behandelt Pentests aus einer organisatorischen Perspektive im Sinne des Informationssicherheitsmanagements. Der TE ist aber vermutlich an technischen Vorgehensweisen interessiert. Da würde ich auch TryHackMe empfehlen als Einstieg.