Cyber Shelf

// Comparaison

Black Hat GraphQL vs The Tangled Web : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Black Hat GraphQL

Attacking Next Generation APIs

Nick Aleks, Dolev Farhi

Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.

Avancé
5/52011
The Tangled Web

Un guide pour sécuriser les applications web modernes

Michal Zalewski

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

À lire si

Quiconque dont le scope bug bounty ou pentest inclut GraphQL — et qui ne trouve rien parce qu'il utilise une méthodologie web-app. Aleks et Farhi couvrent l'abus d'introspection, les attaques batching, le DoS profondeur/complexité, les défauts auth et la façon dont GraphQL aplatit le threat model web typique.
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.

À éviter si

Lecteurs sans exposition GraphQL dans leur travail ; le livre est une spécialisation, pas une intro générale.
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.

Points clés

  • L'introspection désactivée n'est pas un contrôle de sécurité ; le livre explique comment énumérer les schémas sans elle et pourquoi cela importe.
  • Les attaques batching et aliasing permettent à une requête HTTP de faire plein de choses ; les défenses rate-limit classiques échouent à moins d'être GraphQL-aware.
  • Les attaques profondeur et complexité sont l'équivalent GraphQL du regex DoS, généralement possibles, souvent oubliées, parfois catastrophiques.
  • Le modèle de sécurité du web n'est pas conçu ; il est excavé.
  • Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
  • Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.

Comment ils se comparent

Nous notons The Tangled Web plus haut (5/5 contre 4/5 pour Black Hat GraphQL). Pour la plupart des lecteurs, The Tangled Web est le choix principal et Black Hat GraphQL un complément utile.

Black Hat GraphQL vise le niveau intermédiaire. The Tangled Web vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Black Hat GraphQL et The Tangled Web couvrent tous les deux Web Security, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Black Hat GraphQL

Alternatives à Black Hat GraphQLQue lire après Black Hat GraphQL

The Tangled Web

Alternatives à The Tangled WebQue lire après The Tangled Web

Thématiques liées

Web SecurityAppSec