Pentesting Azure Applications
The Definitive Guide to Testing and Securing Deployments
Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Matt Burrough
- Publié
- 2018
- Éditeur
- No Starch Press
- Pages
- 216
- Langue
- English
À lire si
Pentesters cloud dont le scope inclut les souscriptions Azure. Burrough couvre l'identité (Entra ID), l'abus de comptes de stockage, la recon niveau VM, la manipulation de matériel de clés et les patterns d'accès basés rôle qui pilotent la vraie post-exploitation Azure.
À éviter si
Lecteurs focalisés AWS ou GCP, ou quiconque voulant le tradecraft Azure actuel. Le livre précède le rebrand actuel AAD-vers-Entra-ID et plusieurs mises à jour de services majeurs ; à traiter comme fondamental, pas actuel.
Points clés
- Les patterns d'attaque Azure se centrent sur l'identité et les rôles, pas sur les vulnérabilités niveau réseau ; le cadrage du livre reflète cela.
- Les mauvaises configurations de comptes de stockage restent un des findings Azure les plus communs ; la couverture du livre sur l'abus de clés d'accès est encore pertinente.
- Le reporting pentest cloud diffère significativement du reporting pentest réseau ; les templates de livrables du livre sont des points de départ utiles.
Notes
À coupler avec la documentation Microsoft Cloud Adoption Framework actuelle et avec l'Azure Security Benchmark pour la surface de contrôle actuelle. Le blog et les talks de conférence de Burrough (DEF CON Cloud Village, BSides) sont les suites naturelles. Pour AWS, voir Hacking AWS de Bryan Stevenson ; pour GCP, voir directement la documentation sécurité Google Cloud. La surface Azure-spécifique évolue rapidement ; complétez le livre avec les writeups Microsoft Defender for Cloud et Microsoft Threat Protection actuels.
Que lire avant
Que lire avant Pentesting Azure Applications →Débutant · 2014
Penetration Testing
L'introduction lab-driven de Georgia Weidman au pentesting, faisant traverser au lecteur le montage d'un environnement cible, le scan, l'exploitation, la post-exploitation et le reporting.
Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Intermédiaire · 2018
The Hacker Playbook 3
Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.
Que lire ensuite
Que lire après Pentesting Azure Applications →Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Intermédiaire · 2018
The Hacker Playbook 3
Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.
Avancé · 2017
Attacking Network Protocols
James Forshaw, vétéran de Project Zero, sur comment capturer, parser et casser les protocoles depuis le wire jusqu'à la couche application, avec un fort focus sur la construction d'un tooling d'analyse réutilisable.
Explorer des livres similaires
Alternatives à Pentesting Azure Applications →Intermédiaire · 2025
Metasploit
La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.
Intermédiaire · 2018
The Hacker Playbook 3
Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.
Débutant · 2014
Penetration Testing
L'introduction lab-driven de Georgia Weidman au pentesting, faisant traverser au lecteur le montage d'un environnement cible, le scan, l'exploitation, la post-exploitation et le reporting.