Cyber Shelf

// Comparaison

Pentesting Azure Applications vs The Hacker Playbook 3 : lequel lire ?

Deux livres de cybersécurité sur Pentesting, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
3/52018
Pentesting Azure Applications

The Definitive Guide to Testing and Securing Deployments

Matt Burrough

Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.

Intermédiaire
4/52018
The Hacker Playbook 3

Practical Guide to Penetration Testing — Red Team Edition

Peter Kim

Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.

À lire si

Pentesters cloud dont le scope inclut les souscriptions Azure. Burrough couvre l'identité (Entra ID), l'abus de comptes de stockage, la recon niveau VM, la manipulation de matériel de clés et les patterns d'accès basés rôle qui pilotent la vraie post-exploitation Azure.
Red teamers et pentesters junior à mid-level qui sortent des CTF pour les engagements en entreprise et veulent un récit cohérent du déroulement d'une opération. Le plus fort, c'est l'état d'esprit assumed-breach — l'hypothèse qu'on part d'un foothold et qu'il faut en tirer parti.

À éviter si

Lecteurs focalisés AWS ou GCP, ou quiconque voulant le tradecraft Azure actuel. Le livre précède le rebrand actuel AAD-vers-Entra-ID et plusieurs mises à jour de services majeurs ; à traiter comme fondamental, pas actuel.
Lecteurs cherchant le tradecraft 2024-actuel. Cobalt Strike, Sliver, la recherche EDR-bypass et les attaques d'identité modernes (AAD, conditional access, abus OAuth) ont tous évolué depuis 2018. Traitez les techniques comme des concepts, pas des commandes.

Points clés

  • Les patterns d'attaque Azure se centrent sur l'identité et les rôles, pas sur les vulnérabilités niveau réseau ; le cadrage du livre reflète cela.
  • Les mauvaises configurations de comptes de stockage restent un des findings Azure les plus communs ; la couverture du livre sur l'abus de clés d'accès est encore pertinente.
  • Le reporting pentest cloud diffère significativement du reporting pentest réseau ; les templates de livrables du livre sont des points de départ utiles.
  • L'assumed breach est le bon cadre de départ pour presque tout engagement moderne ; les scénarios périmètre-vers-DA relèvent de plus en plus de la fiction.
  • La valeur du livre est le workflow — recon, foothold, escalade, persistance, exfil — pas les outils précis utilisés pour le démontrer.
  • Couplez chaque chapitre avec une source blog actuelle ; le toolchain tourne plus vite que l'imprimé ne peut suivre.

Comment ils se comparent

Nous notons The Hacker Playbook 3 plus haut (4/5 contre 3/5 pour Pentesting Azure Applications). Pour la plupart des lecteurs, The Hacker Playbook 3 est le choix principal et Pentesting Azure Applications un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Pentesting Azure Applications et The Hacker Playbook 3 couvrent tous les deux Pentesting, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Pentesting Azure Applications

Alternatives à Pentesting Azure ApplicationsQue lire après Pentesting Azure Applications

The Hacker Playbook 3

Alternatives à The Hacker Playbook 3Que lire après The Hacker Playbook 3

Thématiques liées

PentestingOffensive