Cyber Shelf

// Comparaison

Black Hat GraphQL vs The Mobile Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Black Hat GraphQL

Attacking Next Generation APIs

Nick Aleks, Dolev Farhi

Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.

Intermédiaire
3/52015
The Mobile Application Hacker's Handbook

Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse

La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.

À lire si

Quiconque dont le scope bug bounty ou pentest inclut GraphQL — et qui ne trouve rien parce qu'il utilise une méthodologie web-app. Aleks et Farhi couvrent l'abus d'introspection, les attaques batching, le DoS profondeur/complexité, les défauts auth et la façon dont GraphQL aplatit le threat model web typique.
Pentesters mobiles qui veulent les fondations structurelles de la discipline — quelle surface existe, où vivent typiquement les bugs, comment les plateformes diffèrent dans leurs défauts. Les chapitres taxonomie et méthodologie vieillissent plus lentement que le tooling spécifique.

À éviter si

Lecteurs sans exposition GraphQL dans leur travail ; le livre est une spécialisation, pas une intro générale.
Lecteurs ayant besoin de la technique actuelle sur App Attest, DeviceCheck, clés liées biométrie, contournement pinning moderne, instrumentation runtime récente (classe Frida) ou la réalité cross-plateforme (React Native, Flutter, Capacitor). La publication 2015 se voit dans chaque chapitre.

Points clés

  • L'introspection désactivée n'est pas un contrôle de sécurité ; le livre explique comment énumérer les schémas sans elle et pourquoi cela importe.
  • Les attaques batching et aliasing permettent à une requête HTTP de faire plein de choses ; les défenses rate-limit classiques échouent à moins d'être GraphQL-aware.
  • Les attaques profondeur et complexité sont l'équivalent GraphQL du regex DoS, généralement possibles, souvent oubliées, parfois catastrophiques.
  • La structure défauts-et-pièges-par-plateforme est durable : le modèle de sécurité de chaque plateforme se comprend encore le mieux à travers le même prisme que le livre utilise.
  • IPC, deep-link et surface inter-app restent les surfaces d'attaque mobile au plus haut rendement, même si les APIs spécifiques ont changé.
  • Couplez chaque chapitre avec du matériel OWASP MASTG / MASVS actuel ; la carte conceptuelle est la valeur du livre, le tooling spécifique non.

Comment ils se comparent

Nous notons Black Hat GraphQL plus haut (4/5 contre 3/5 pour The Mobile Application Hacker's Handbook). Pour la plupart des lecteurs, Black Hat GraphQL est le choix principal et The Mobile Application Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Black Hat GraphQL et The Mobile Application Hacker's Handbook couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Black Hat GraphQL

Alternatives à Black Hat GraphQLQue lire après Black Hat GraphQL

The Mobile Application Hacker's Handbook

Alternatives à The Mobile Application Hacker's HandbookQue lire après The Mobile Application Hacker's Handbook

Thématiques liées

AppSec