Cyber Shelf

// Comparaison

Advanced Penetration Testing vs Metasploit : lequel lire ?

Deux livres de cybersécurité sur Offensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
3/52017
Advanced Penetration Testing

Pénétrer les réseaux les plus sécurisés du monde

Wil Allsopp

Le parcours d'un red-teamer pour entrer dans des cibles hautement sécurisées sans Metasploit, en s'appuyant sur du C2 maison, de l'ingénierie sociale et du tradecraft. De bonnes idées, une exécution inégale.

Intermédiaire
4/52025
Metasploit

The Penetration Tester's Guide

David Kennedy, Mati Aharoni, Devon Kearns, Jim O'Gorman, Daniel G. Graham

La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.

À lire si

Pentesters en activité qui veulent dépasser les missions guidées par les outils et construire leurs propres payloads et C2 face à des environnements durcis et surveillés.
Pentesters et red teamers qui veulent connaître Metasploit à fond, ou développeurs qui veulent étendre le Framework. Écrit par les leads originaux du projet et mis à jour pour l'écosystème actuel ; le texte canonique sur Metasploit.

À éviter si

Débutants, et quiconque cherche un manuel de labo soigné et reproductible. Passez votre chemin si vous voulez du code à copier-coller et exécuter, les listings sont illustratifs et datés.
Lecteurs voulant le tradecraft post-exploitation moderne contre des cibles bien défendues. Metasploit brille en lab et dans les scénarios style OSCP ; contre l'EDR moderne avec callbacks kernel, le playbook est plus nuancé que ce livre ne le couvre.

Points clés

  • Face à des cibles matures, le travail intéressant, c'est l'outillage sur mesure et le tradecraft, pas les frameworks tout faits.
  • Une mission réaliste de type APT est une campagne, ingénierie sociale, payloads par étapes et C2 patient, pas un exploit unique.
  • Contourner l'EDR et les contrôles de sortie est un problème de conception que l'on résout avant la mission, pas une option que l'on active pendant.
  • La valeur de Metasploit est l'intégration workflow : payloads, modules post-exploitation, sessions, pivoting tous câblés ensemble. Le livre vous apprend à utiliser le framework comme multiplicateur de force, pas comme liste d'exploits.
  • Les modules custom (auxiliary, exploit, post) sont comment vous transformez Metasploit en votre toolkit ; les chapitres sur le développement de modules sont le matériel au plus haut levier.
  • La 2e édition (2025) est mise à jour pour le Framework moderne, le Linux mainstream et le modèle actuel de Meterpreter ; l'édition 2011 originale est maintenant datée.

Comment ils se comparent

Nous notons Metasploit plus haut (4/5 contre 3/5 pour Advanced Penetration Testing). Pour la plupart des lecteurs, Metasploit est le choix principal et Advanced Penetration Testing un complément utile.

Advanced Penetration Testing vise le niveau avancé. Metasploit vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Advanced Penetration Testing et Metasploit couvrent tous les deux Offensive, Pentesting : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Advanced Penetration Testing

Alternatives à Advanced Penetration TestingQue lire après Advanced Penetration Testing

Metasploit

Alternatives à MetasploitQue lire après Metasploit

Thématiques liées

OffensivePentesting