Non ti suggerisco di usare entrambi. Devi sviluppare le tue abilità senza gli strumenti per sapere cosa attaccare e come attaccarlo.
I seguenti libri ti aiuteranno a iniziare:
- Valutazione della sicurezza della rete, terza edizione
- Operazioni informatiche: costruzione, difesa e attacco di computer moderni
Reti
- Python: test di penetrazione per sviluppatori
- Padroneggiare Kali Linux for Advanced Penetration Testing, 2a edizione
- Metasploit Revealed: segreti del Pentecoste
Devi padroneggiare le tecniche senza utilizzare gli strumenti. Metasploit è una sorta di framework per la costruzione di una tecnica, ma puoi anche fare affidamento su di esso, se non impari lo scripting o la pertinenza specifica del codice per ogni modulo fino ai dettagli, non solo le opzioni o le opzioni avanzate. / p>
Tuttavia, nmap può essere modificato per ottenere una comprensione di un ambiente in termini di vulnerabilità, efficienza di controllo e pratiche di sicurezza profonde. Lo consiglierei a Nessus per ogni situazione, tranne che per la situazione di Fire-and Forget. Tuttavia, Fire-and Forget tende a fornire un rapporto con i rischi sbagliati e una grande varietà di errori compresi i falsi positivi (che possono essere falsi-falsi positivi se l'esperto alla guida non sa come ridurre i falsi positivi ai giusti set di problemi ) e falsi negativi.
Quindi, raccomando anche (dopo aver imparato le tecniche) questi libri:
- Nmap: libro di ricette per l'esplorazione della rete e il controllo di sicurezza, 2a edizione
- Padroneggiare il motore di script Nmap