Pentesting Azure Applications
The Definitive Guide to Testing and Securing Deployments
Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Matt Burrough
- Publié
- 2018
- Éditeur
- No Starch Press
- Pages
- 216
- Langue
- English
À lire si
Pentesters cloud dont le scope inclut les souscriptions Azure. Burrough couvre l'identité (Entra ID), l'abus de comptes de stockage, la recon niveau VM, la manipulation de matériel de clés et les patterns d'accès basés rôle qui pilotent la vraie post-exploitation Azure.
À éviter si
Lecteurs focalisés AWS ou GCP, ou quiconque voulant le tradecraft Azure actuel. Le livre précède le rebrand actuel AAD-vers-Entra-ID et plusieurs mises à jour de services majeurs ; à traiter comme fondamental, pas actuel.
Points clés
- Les patterns d'attaque Azure se centrent sur l'identité et les rôles, pas sur les vulnérabilités niveau réseau ; le cadrage du livre reflète cela.
- Les mauvaises configurations de comptes de stockage restent un des findings Azure les plus communs ; la couverture du livre sur l'abus de clés d'accès est encore pertinente.
- Le reporting pentest cloud diffère significativement du reporting pentest réseau ; les templates de livrables du livre sont des points de départ utiles.
Notes
À coupler avec la documentation Microsoft Cloud Adoption Framework actuelle et avec l'Azure Security Benchmark pour la surface de contrôle actuelle. Le blog et les talks de conférence de Burrough (DEF CON Cloud Village, BSides) sont les suites naturelles. Pour AWS, voir Hacking AWS de Bryan Stevenson ; pour GCP, voir directement la documentation sécurité Google Cloud. La surface Azure-spécifique évolue rapidement ; complétez le livre avec les writeups Microsoft Defender for Cloud et Microsoft Threat Protection actuels.
Que lire avant
Que lire avant Pentesting Azure Applications →Débutant · 2014
Penetration Testing
L'introduction lab-driven de Georgia Weidman au pentesting, faisant traverser au lecteur le montage d'un environnement cible, le scan, l'exploitation, la post-exploitation et le reporting.
Intermédiaire · 2021
Hacking Kubernetes
Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.
Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Que lire ensuite
Que lire après Pentesting Azure Applications →Avancé · 2017
Advanced Penetration Testing
Le parcours d'un red-teamer pour entrer dans des cibles hautement sécurisées sans Metasploit, en s'appuyant sur du C2 maison, de l'ingénierie sociale et du tradecraft. De bonnes idées, une exécution inégale.
Intermédiaire · 2021
Hacking Kubernetes
Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.
Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Explorer des livres similaires
Alternatives à Pentesting Azure Applications →Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Intermédiaire · 2022
Sécurité informatique - Ethical Hacking
La référence francophone de la sécurité offensive : un panorama dense et orienté travaux pratiques de la boîte à outils de l'attaquant, maintenu au fil des éditions par le collectif ACISSI sous la devise « apprendre l'attaque pour mieux se défendre ».
Intermédiaire · 2021
Hacking Kubernetes
Une visite d'un cluster Kubernetes par modélisation des menaces, composant par composant, qui apprend à durcir les défauts en montrant d'abord comment chacun se casse.