Cyber Shelf

// Comparaison

The Art of Software Security Assessment vs The Tangled Web : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52006
The Art of Software Security Assessment

Identifying and Preventing Software Vulnerabilities

Mark Dowd, John McDonald, Justin Schuh

Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.

Avancé
5/52011
The Tangled Web

Un guide pour sécuriser les applications web modernes

Michal Zalewski

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

À lire si

Auditeurs, chercheurs de vulnérabilités et développeurs de codebases C/C++. Le livre le plus profond en imprimé sur la lecture de code adversariale. Vieux, dense et toujours indépassé.
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.

À éviter si

Développeurs web, quiconque travaille exclusivement en langages memory-safe, ou débutants sans exposition C/C++. Le livre est un primer d'audit de 1 200 pages ; rien d'autre ne rivalise en profondeur.
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.

Points clés

  • Les classes de vulnérabilités (corruption mémoire, problèmes d'entiers, format strings, race conditions) émergent des interactions entre couches ; le livre vous apprend à voir les frontières.
  • Le chapitre sur les problèmes d'entiers est la référence canonique ; la plupart des CVE publiques en C/C++ jusqu'en 2025 remontent encore aux patterns nommés ici par Dowd/McDonald/Schuh.
  • Les études de cas (Apache, Postfix, Solaris, OpenSSL) rendent les abstractions concrètes ; les lire dans l'ordre construit l'œil d'auditeur que rien d'autre ne construit.
  • Le modèle de sécurité du web n'est pas conçu ; il est excavé.
  • Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
  • Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.

Comment ils se comparent

The Art of Software Security Assessment et The Tangled Web sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

The Art of Software Security Assessment et The Tangled Web couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

The Art of Software Security Assessment

Alternatives à The Art of Software Security AssessmentQue lire après The Art of Software Security Assessment

The Tangled Web

Alternatives à The Tangled WebQue lire après The Tangled Web

Thématiques liées

AppSec