The Shellcoder's Handbook
Şu sıralar The Shellcoder's Handbook okuyorum. Aslında kitap çıkalı 4 yıl olmuş ve benim de uzun süredir haberim var kitaptan ama anca başlayabildim. Solaris / HPUX exploitation kısımlarını pass geçtim ve son bölümlere kadar geldim. Haricinde kitabin içinde verilen zayıf kod ve exploit örneklerini denemedikten sonra anlamak pek mümkün değil. Ancak konu hakkında fikir sahibi olabilirsiniz.
Kitap aslında gayet keyifli fakat gerçek dünya uygulamaları namına biraz eksik sanki, yer yer eski bulunmuş açıklardan bahsediyor lakin direkt olarak gerçek open source X yazılımındaki şu zayıf kod parçası sebebiyle şu şekilde exploit edilebilir diye detaylı analiz yok. Gün gelir de bu tip bir kitap yazma durumum olursa, daha önceden bulunmuş minimum 50 tane öğretici açığın, nasıl oluştuğunu ve ne şekilde exploit edilebileceğini kaynak kod vererek gösterme yolunu seçeceğim.
Kitabın yazarlarından biri de Sinan Eren isimli Türk bir güvenlik araştırmacısı.
Amazon'dan ilgili kitapları inceledim de dediğim tarzda analizler galiba Sockets, Shellcode, Porting, & Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals kitabında mevcut. Kitabın içeriğine baktım; farklı konuları da kapsadığı için muhtemelen teorik içeriği The Shellcoder's Handbook kadar iyi değildir lakin "Writing Exploits" kısımlarında kastettiğim analizler var gözüküyor. Henüz elimde ilgili kitap yok, ama ilk fırsatta bulup okumaya çalışacağım.
Re: The Shellcoder's Handbook
kitabin ilk baskisinda, 2 tane 0-day acik publish edildi, yanilmiyorsam birisi o bahsettigin sunos acigi. sizin resmini koydugunuz 2nd edition, aradaki fark nedir fikrim yok.
3-4 tane gercek hayattan vulnerability vardi diye hatirliyorum.
sinan 'noir' eren konusunda da eksisozluk'e bir bakmanizda fayda goruyorum;)
kendisinin vaktiyla olympos'da tamer sahin'e guzel giydirmisligi vardir, bir de yayinladigi eski bazi exploitler ve phrack'de yayinlanan bir makalesi mevcut. su anda core impact'de calisiyor.
kitabin ilk baskisinin bir diger yazari da dave aitels, onu da takip etmekte fayda var derim. (immunity inc.)
Re: The Shellcoder's Handbook
Ben sahsen okulun(GYTE) kutuphanesinden temin ettim. Turkiyede nerede satilir bilmiyorum, ama e-book olarak istiyorsaniz http://www.flazx.com/ 'dan bu ya da bir cok ilgili kitabi bulabilirsiniz.
@hybridus
ben de 1. baskiyi okudum, resmi google'dan copy paste yoksa kitabi tarayip koymadim:)
sinan eren'den haberdarim, o tartismayi da okumustum.Turkiye'den boyle insanlar pek fazla cikmiyor,varolanlar da Turkiye'de exploit gelistirmesi, acik bulmasi icin para verecek bir yer bulamadiklari uzere yurt disina gidiyorlar. Haricinde eksisozlugu ciddi olarak takip ediyorum, uzerine yazar oldum ama pek yazan bir insan degilim.
Dave Aitel konusunda katiliyorum, ama takip edilmesi gereken insan konusunda, benim favorim Michal Zalewski:)