Cyber Shelf

// Comparaison

Penetration Testing vs The Hacker Playbook 3 : lequel lire ?

Deux livres de cybersécurité sur Pentesting, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52014
Penetration Testing

A Hands-On Introduction to Hacking

Georgia Weidman

L'introduction lab-driven de Georgia Weidman au pentesting, faisant traverser au lecteur le montage d'un environnement cible, le scan, l'exploitation, la post-exploitation et le reporting.

Intermédiaire
4/52018
The Hacker Playbook 3

Practical Guide to Penetration Testing — Red Team Edition

Peter Kim

Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.

À lire si

Débutants qui veulent une intro hands-on unique qui les fait traverser un workflow pentest complet : montage de lab, recon, exploitation, post-exploitation, reporting. Encore le point d'entrée le plus amical en imprimé.
Red teamers et pentesters junior à mid-level qui sortent des CTF pour les engagements en entreprise et veulent un récit cohérent du déroulement d'une opération. Le plus fort, c'est l'état d'esprit assumed-breach — l'hypothèse qu'on part d'un foothold et qu'il faut en tirer parti.

À éviter si

Lecteurs qui travaillent déjà en sécurité offensive ou veulent les spécificités tooling de la décennie actuelle. L'édition est datée face au tradecraft Active Directory moderne et aux réalités EDR ; le workflow est intemporel, les outils non.
Lecteurs cherchant le tradecraft 2024-actuel. Cobalt Strike, Sliver, la recherche EDR-bypass et les attaques d'identité modernes (AAD, conditional access, abus OAuth) ont tous évolué depuis 2018. Traitez les techniques comme des concepts, pas des commandes.

Points clés

  • Un pentest complet est un petit nombre de mouvements répétés (recon, trouver foothold, escalader, pivoter, documenter) ; Weidman enseigne le rythme avant le tooling.
  • Le montage de lab est la moitié de l'apprentissage ; faire tourner le lab Metasploitable-et-VM-Windows du livre est ce qui construit la mémoire musculaire que l'OSCP suppose plus tard.
  • Le reporting compte autant que l'exploitation ; le livre est un des rares textes d'intro qui prend le livrable au sérieux.
  • L'assumed breach est le bon cadre de départ pour presque tout engagement moderne ; les scénarios périmètre-vers-DA relèvent de plus en plus de la fiction.
  • La valeur du livre est le workflow — recon, foothold, escalade, persistance, exfil — pas les outils précis utilisés pour le démontrer.
  • Couplez chaque chapitre avec une source blog actuelle ; le toolchain tourne plus vite que l'imprimé ne peut suivre.

Comment ils se comparent

Penetration Testing et The Hacker Playbook 3 sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Penetration Testing vise le niveau débutant. The Hacker Playbook 3 vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Penetration Testing et The Hacker Playbook 3 couvrent tous les deux Pentesting, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Penetration Testing

Alternatives à Penetration TestingQue lire après Penetration Testing

The Hacker Playbook 3

Alternatives à The Hacker Playbook 3Que lire après The Hacker Playbook 3

Thématiques liées

PentestingOffensive