Cyber Shelf

// Comparaison

Black Hat GraphQL vs Web Security for Developers : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52023
Black Hat GraphQL

Attacking Next Generation APIs

Nick Aleks, Dolev Farhi

Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.

Débutant
4/52020
Web Security for Developers

Real Threats, Practical Defense

Malcolm McDonald

Le primer côté développeur de Malcolm McDonald sur les problèmes classe OWASP, cadré autour de vraies attaques et défendu avec des patterns de code plutôt qu'avec des produits vendor.

À lire si

Quiconque dont le scope bug bounty ou pentest inclut GraphQL — et qui ne trouve rien parce qu'il utilise une méthodologie web-app. Aleks et Farhi couvrent l'abus d'introspection, les attaques batching, le DoS profondeur/complexité, les défauts auth et la façon dont GraphQL aplatit le threat model web typique.
Développeurs qui veulent comprendre la sécurité sans gens de la sécurité dans la boucle. McDonald est le rare auteur qui explique XSS, CSRF, SQLi, auth et sessions sans distractions de tooling offensif, dans le langage qu'un codeur en activité utilise.

À éviter si

Lecteurs sans exposition GraphQL dans leur travail ; le livre est une spécialisation, pas une intro générale.
Praticiens qui connaissent déjà OWASP à fond, ou lecteurs voulant de la profondeur sur les classes de bugs modernes (chaînes SSRF, prototype pollution, race conditions). Le livre est fondamental, pas avancé.

Points clés

  • L'introspection désactivée n'est pas un contrôle de sécurité ; le livre explique comment énumérer les schémas sans elle et pourquoi cela importe.
  • Les attaques batching et aliasing permettent à une requête HTTP de faire plein de choses ; les défenses rate-limit classiques échouent à moins d'être GraphQL-aware.
  • Les attaques profondeur et complexité sont l'équivalent GraphQL du regex DoS, généralement possibles, souvent oubliées, parfois catastrophiques.
  • Le cadrage « real threats, practical defense » est le choix de design du livre et son mouvement pédagogique le plus fort ; chaque chapitre commence avec l'attaque et finit avec le pattern de code défensif.
  • La sécurité web est principalement les mêmes douze erreurs depuis deux décennies ; une fois la taxonomie connue, les variantes modernes sont reconnaissables.
  • Le chapitre sur la gestion de session et le chapitre sur le JS tiers sont les deux pièces au plus haut levier du livre pour les ingénieurs qui connaissent déjà les bases.

Comment ils se comparent

Black Hat GraphQL et Web Security for Developers sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Black Hat GraphQL vise le niveau intermédiaire. Web Security for Developers vise le niveau débutant. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Black Hat GraphQL et Web Security for Developers couvrent tous les deux Web Security, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Black Hat GraphQL

Alternatives à Black Hat GraphQLQue lire après Black Hat GraphQL

Web Security for Developers

Alternatives à Web Security for DevelopersQue lire après Web Security for Developers

Thématiques liées

Web SecurityAppSec