Cyber Shelf

// Comparaison

Metasploit vs Penetration Testing : lequel lire ?

Deux livres de cybersécurité sur Offensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52025
Metasploit

The Penetration Tester's Guide

David Kennedy, Mati Aharoni, Devon Kearns, Jim O'Gorman, Daniel G. Graham

La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.

Débutant
4/52014
Penetration Testing

A Hands-On Introduction to Hacking

Georgia Weidman

L'introduction lab-driven de Georgia Weidman au pentesting, faisant traverser au lecteur le montage d'un environnement cible, le scan, l'exploitation, la post-exploitation et le reporting.

À lire si

Pentesters et red teamers qui veulent connaître Metasploit à fond, ou développeurs qui veulent étendre le Framework. Écrit par les leads originaux du projet et mis à jour pour l'écosystème actuel ; le texte canonique sur Metasploit.
Débutants qui veulent une intro hands-on unique qui les fait traverser un workflow pentest complet : montage de lab, recon, exploitation, post-exploitation, reporting. Encore le point d'entrée le plus amical en imprimé.

À éviter si

Lecteurs voulant le tradecraft post-exploitation moderne contre des cibles bien défendues. Metasploit brille en lab et dans les scénarios style OSCP ; contre l'EDR moderne avec callbacks kernel, le playbook est plus nuancé que ce livre ne le couvre.
Lecteurs qui travaillent déjà en sécurité offensive ou veulent les spécificités tooling de la décennie actuelle. L'édition est datée face au tradecraft Active Directory moderne et aux réalités EDR ; le workflow est intemporel, les outils non.

Points clés

  • La valeur de Metasploit est l'intégration workflow : payloads, modules post-exploitation, sessions, pivoting tous câblés ensemble. Le livre vous apprend à utiliser le framework comme multiplicateur de force, pas comme liste d'exploits.
  • Les modules custom (auxiliary, exploit, post) sont comment vous transformez Metasploit en votre toolkit ; les chapitres sur le développement de modules sont le matériel au plus haut levier.
  • La 2e édition (2025) est mise à jour pour le Framework moderne, le Linux mainstream et le modèle actuel de Meterpreter ; l'édition 2011 originale est maintenant datée.
  • Un pentest complet est un petit nombre de mouvements répétés (recon, trouver foothold, escalader, pivoter, documenter) ; Weidman enseigne le rythme avant le tooling.
  • Le montage de lab est la moitié de l'apprentissage ; faire tourner le lab Metasploitable-et-VM-Windows du livre est ce qui construit la mémoire musculaire que l'OSCP suppose plus tard.
  • Le reporting compte autant que l'exploitation ; le livre est un des rares textes d'intro qui prend le livrable au sérieux.

Comment ils se comparent

Metasploit et Penetration Testing sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Metasploit vise le niveau intermédiaire. Penetration Testing vise le niveau débutant. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Metasploit et Penetration Testing couvrent tous les deux Offensive, Tooling, Pentesting : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Metasploit

Alternatives à MetasploitQue lire après Metasploit

Penetration Testing

Alternatives à Penetration TestingQue lire après Penetration Testing

Thématiques liées

OffensiveToolingPentesting