Cyber Shelf

// Comparaison

Black Hat GraphQL vs Hacking APIs : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Black Hat GraphQL

Attacking Next Generation APIs

Nick Aleks, Dolev Farhi

Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.

Intermédiaire
4/52022
Hacking APIs

Breaking Web Application Programming Interfaces

Corey J. Ball

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

À lire si

Quiconque dont le scope bug bounty ou pentest inclut GraphQL — et qui ne trouve rien parce qu'il utilise une méthodologie web-app. Aleks et Farhi couvrent l'abus d'introspection, les attaques batching, le DoS profondeur/complexité, les défauts auth et la façon dont GraphQL aplatit le threat model web typique.
Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.

À éviter si

Lecteurs sans exposition GraphQL dans leur travail ; le livre est une spécialisation, pas une intro générale.
Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.

Points clés

  • L'introspection désactivée n'est pas un contrôle de sécurité ; le livre explique comment énumérer les schémas sans elle et pourquoi cela importe.
  • Les attaques batching et aliasing permettent à une requête HTTP de faire plein de choses ; les défenses rate-limit classiques échouent à moins d'être GraphQL-aware.
  • Les attaques profondeur et complexité sont l'équivalent GraphQL du regex DoS, généralement possibles, souvent oubliées, parfois catastrophiques.
  • La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
  • BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
  • Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.

Comment ils se comparent

Black Hat GraphQL et Hacking APIs sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Black Hat GraphQL et Hacking APIs couvrent tous les deux Web Security, AppSec, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Black Hat GraphQL

Alternatives à Black Hat GraphQLQue lire après Black Hat GraphQL

Hacking APIs

Alternatives à Hacking APIsQue lire après Hacking APIs

Thématiques liées

Web SecurityAppSecOffensive