2016年3月26日 星期六

新作「白帽駭客新兵訓練營」上市

這是我個人編著的第4本書,感謝大家的支持,之前「網站滲透測試實務入門」及「Kali 滲透測試工具((第二版))」在博客來都有不錯的成績,期待這一本也能得到大家的支持及肯定。
一切都是無心插柳,當初寫第一本是因為滲透測試小組作業需要,希望提供成員一本即能做教材,也能做隨身手冊的入門書。第二本則是碁峰的提議,所以將個人使用Kali的筆記集結成 冊。而這一本也是因為前兩本出版後,同事反應只教工具使用,能不能也寫一本實習教材,加上主管指示如何強化小組的技術能量,因此將自己平常練習的環境做系統整理,再搭配滲透測試的完整流程及Kali工具的使用,寫成一本以實習為導向的書籍,希望提供自學者一個練習的平台,亦能做為教學者指導學生實習的教材。
單獨使用這本「白帽駭客新兵訓練營」當然也沒有問題,但我希望讀者可以搭配「Kali 滲透測試工具((第二版))」閱讀,不僅學習滲透測試的概念,也熟悉滲透測試作業時常用的工具。 

有關書中的練習指令、資源下載網址及內容勘誤
請參考「http://atic-tw.blogspot.tw/p/userpass.html」(會持續修正)

本書在下列網路書店可以買得到:
博客來網路書店:http://www.books.com.tw/products/0010709935?loc=P_003_050
天瓏網路書店:https://www.tenlong.com.tw/items/9863479756?item_id=1012750
[重慶南路的實體書店也有賣]
金石堂網路書店:http://www.kingstone.com.tw/book/book_page.asp?kmcode=2014713484659&lid=search&actid=wise
誠品網路書店:http://www.eslite.com/product.aspx?pgid=1001113692496870&name=Metasploitable%3a+白帽駭客新兵訓練營

讀冊生活http://www.taaze.tw/sing.html?pid=11100778245
大享電腦圖書http://goods.ruten.com.tw/item/show?21612233332817
 PCHome 24h書店 :(尚未開賣)

15 則留言:

  1. 建議若本書會改版,印刷前先花個小錢,請稍懂技術的專業校對人員幫忙校稿。

    1-5頁上方:/etc/network 才對,沒有s。
    2-14頁的第二組nmap指令,雖然-sR是alias for -sV,但已經是舊的option了,且2-15頁最上方也改成-sV了,是否需要一致?
    5-3頁中間偏右,rshclie"nt"才對,單純拼錯字。

    有一些部份的解釋說明稍嫌少了些,您可能假設會閱讀本書的讀者,都是已經從事過滲透測試一段時間,並具有一定水準的使用Unix-like OS能力了,但書名明明是「新兵」訓練營啊。第一章裡面做了很多額外的作業系統設定,但都只是列出指令,叫讀者一行一行跟著敲,但是完全沒有說明某一行為什麼要這麼輸入的原因,這樣子會讓讀者越看越糊塗,認為這些知識體實在龐大,也會對白帽駭客這個行業越來越沒有信心的。我的意思是,例如可以在說明5.1 rlogin設定不良時,花個四五行文字的篇幅,大概說明一下這東西的作用是什麼,可以讓讀者基本上理解有哪些功能、作用即可,就不用一邊看這本書還得一邊Google資料了。

    這本書大致上寫得很不錯,只是ref另外一本書「Kali Linux滲透測試工具(第二版)」的點,實在有一點多,似乎有一點半強迫讀者得買另外一本書,雖然我也有一起買了,但總是覺得可以在白帽駭客新兵訓練營裡面多著墨一點,盡量讓初階讀者可以在未來才考慮是否購買另外一本,會比較貼心一點啦。

    以上,一點點小小的意見,都是希望這本書能夠更好,希望作者不要見怪。

    回覆刪除
  2. 有位讀者在我的部落格上留言,但似乎又將它刪除,大概是怕我無地自容,非常感謝您的體諒。
    幸好電子郵上還收得到,不然我就失去這麼好的建議,這位讀者的建議如下:
    *******************************************************************
    匿名 已針對您的文章「新作「白帽駭客新兵訓練營」上市」留下新意見:

    建議若本書會改版,印刷前先花個小錢,請稍懂技術的專業校對人員幫忙校稿。

    1-5頁上方:/etc/network 才對,沒有s。
    2-14頁的第二組nmap指令,雖然-sR是alias for -sV,但已經是舊的option了,且2-15頁最上方也改成-sV了,是否需要一致?
    5-3頁中間偏右,rshclie"nt"才對,單純拼錯字。

    有一些部份的解釋說明稍嫌少了些,您可能假設會閱讀本書的讀者,都是已經從事過滲透測試一段時間,並具有一定水準的使用Unix-like OS能力了,但書名明明是「新兵」訓練營啊。第一章裡面做了很多額外的作業系統設定,但都只是列出指令,叫讀者一行一行跟著敲,但是完全沒有說明某一行為什麼要這麼輸入的原因,這樣子會讓讀者越看越糊塗,認為這些知識體實在龐大,也會對白帽駭客這個行業越來越沒有信心的。我的意思是,例如可以在說明5.1 rlogin設定不良時,花個四五行文字的篇幅,大概說明一下這東西的作用是什麼,可以讓讀者基本上理解有哪些功能、作用即可,就不用一邊看這本書還得一邊Google資料了。

    這本書大致上寫得很不錯,只是ref另外一本書「Kali Linux滲透測試工具(第二版)」的點,實在有一點多,似乎有一點半強迫讀者得買另外一本書,雖然我也有一起買了,但總是覺得可以在白帽駭客新兵訓練營裡面多著墨一點,盡量讓初階讀者可以在未來才考慮是否購買另外一本,會比較貼心一點啦。

    以上,一點點小小的意見,都是希望這本書能夠更好,希望作者不要見怪。
    *********************************************************************************

    真的,非常感謝您的指正,雖然我也很愛面子,但更願誠心接受指正,您的建議將做為改版(如果有機會)參考。有關書中謬誤之處亦請其他讀參考改正。

    也誠心邀請讀者分享心得,或給我建議,畢竟資訊界廣不見邊、深不見底,我也有我的盲點。

    回覆刪除
  3. 本身從事資安工作,陸續買了陳兄三本著作,閱讀過後,收穫良多.感謝陳兄能將這方面的知識分享,我會在一些資安宣導課程中,介紹陳兄著作,期待下一本.
    另外新政府將廢止 國家資通安全科技中心,後續政府資安業務需求,不知是否會嚴重影響到資安服務廠商,想聽聽陳兄看法? 再次感謝!

    回覆刪除
    回覆
    1. 首先感謝您的支持與宣傳!

      立法院廢止國家資通安全科技中心並非政府不重視資安,只因該中心的定位問題,而蔡英文在競選時也強調過資通安全的重要,底下兩篇新聞供參:
      http://www.ithome.com.tw/news/104960
      http://www.ithome.com.tw/news/105809

      但不管台灣政府重不重視資安,只要走進國際社會,企業就一定會面臨資安稽核的問題,所以資安產業只會越來越大,而且資安辦訂下來的政策(機關分級制),就算沒有「國家資通安全科技中心」,政策還是要繼續。以後可能不只廠商的健檢及滲透測試服務,還需要提供駐點資安人員,資安就不再只是「高技術」的駭客天下,中間階層的資安技術人員可能炙手可熱。

      當然以上只是我個人樂觀的淺見,畢竟局勢的變化不是我能左右的,唯一能做的就是練好基本功,然後等待時機。

      刪除
    2. 我們公司資安業務這兩年成長很大,也是受惠於資安辦的機關分級制.
      廢止國家資通安全科技中心後,原技服中心人員有可能回歸於各縣市政府的資安技術駐點,資安公司生意可能受影響...不過確實依陳兄所言,練好基本功,畢竟資安問題會愈來愈多.
      資安技術人員的需求還是很夯的.感謝!

      刪除
  4. 請問在開啟Metasplotiable的虛擬機之後,我們是否還需要開啟另一個Kali2的虛擬機?
    在第一章的虛擬機環境是Metasplotiable的,到了第二章的虛擬機環境突然變成了Kali 2。

    回覆刪除
    回覆
    1. 應該這樣講:Metasplotiable 是您的攻擊目標(稱為靶機),而 Kali2是您的武器(稱為攻擊機),這兩台是各自獨立的,只是我的教學環境將它們裝成二台虛擬機。
      您可以Metasplotiable裝在虛擬機,Kali2裝在實體機,或者兩台都用實體機亦可。
      總之,Metasplotiable 和 Kali2 是兩台不同的機器。

      刪除
  5. 謝謝陳老師您的解答,小弟在PenTest這行還屬於初學者,釐清了這個疑惑後,相信能比較快的掌握。
    感謝您出了三本好書給對資安有興趣的人們,期待陳老師的下一本新書 :)

    回覆刪除
    回覆
    1. 感謝您的支持,滲透測試是一門既深又廣的技術,我也只能算新手,所以書中有些地方可能說明的不夠好。目前已知書中有些文字錯誤,還請您參考「http://atic-tw.blogspot.tw/p/userpass.html#correct」訂正,以免部分實驗無法完成。

      刪除
  6. 想請問一下,完全沒有基礎的人適合從本書入門嗎?
    還是需要先學哪方面的知識呢?
    謝謝

    回覆刪除
    回覆
    1. 沒有基礎者,不建議買這本書,我把它定位在「實習教材」,也就是有了理論基礎,才以這本做實作練習,致於您問要先學哪方面的知識?其實資安這一領域非常廣,網頁設計、程式語言、程式設計、網站管理、網路管理、作業系統、...,每一樣都要懂一點,至少看到一些不懂的意思時,能上網找答案。

      個人建議:秋聲老師的幾本「駭客」著作可以先試讀,看能否理解其內容,如果您覺得這幾本書有六成看得懂,或者先到書局試閱我寫的「網站滲透測試實務入門」,如果覺得內容都能理解,那就不用買,直接買「Kali Linux滲透測試工具 第二版」和現在討論的這本書(我把兩本定位在一工具、一實習)。

      刪除
    2. 謝謝作者給的建議
      祝新年快樂

      刪除
  7. 想請問一下, 我作為初學者, 可不可以推薦我一個看你的著作的次序?謝謝

    回覆刪除
    回覆
    1. 您好:
      我不知您的「初學」是到哪一種程度,我先假設您已具備:網頁應用程式設計、基本網路原理、Windows及Linux的操作(尤其是命令列的指令),也有弱點掃描的基本經驗。
      .
      建議您先到書局翻一下「網站滲透測試實務入門」(也是我的著作),如果覺得這本書(分三種情況來說):
      適中:表示您是Windows使用者,可先閱讀這一本,先建立滲透測試的基本觀念,之後再參考「Kali Linux滲透測試工具 第二版」加「Metasploitable:白帽駭客新兵訓練營」。
      .
      太深:表示您還沒接觸過資安領域,建議您先去上課,有人講解會比較容易了解一些概念。
      .
      太淺:表示您已具備相當實力,可參考我寫的:「Kali Linux滲透測試工具 第二版」加「Metasploitable:白帽駭客新兵訓練營」,這兩本我當它是一套,一本介紹工具,一本做為實習教材。
      ===
      如果您對找漏洞有興趣,也可參考拙著之「Google Hacking精實技法:進階搜尋x駭客工具x滲透測試」,這一本是專門利用Google 尋找網站已知的弱點。
      ====
      但請您諒解,我的書不是教您當駭客,如果您是想找駭客之類的書,可以參考「秋聲」老師一系列駭客告白。

      刪除
    2. 遲來的回覆:
      謝謝作者給的建議 我會好好參考
      祝你新年快樂

      刪除