Cyber Shelf

// Comparaison

Bug Bounty Bootcamp vs The Web Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52021
Bug Bounty Bootcamp

The Guide to Finding and Reporting Web Vulnerabilities

Vickie Li

La marche pragmatique de Vickie Li à travers le workflow bug-bounty, du choix d'un programme et de la recon jusqu'au reporting de findings qui paient réellement.

Intermédiaire
4/52011
The Web Application Hacker's Handbook

Trouver et exploiter les failles de sécurité

Dafydd Stuttard, Marcus Pinto

La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.

À lire si

Lecteurs qui veulent une introduction workflow-d'abord au bug bounty. Li couvre recon, méthodologie, les classes de bugs qui paient, l'automatisation et les rapports, le tout dans l'ordre où vous les feriez réellement.
Quiconque passe des challenges CTF web à des engagements réels et a besoin d'un modèle mental systématique de la surface d'attaque.

À éviter si

Praticiens qui travaillent déjà en sécurité offensive ou veulent de la profondeur sur des classes de bugs individuelles. Le livre est une large première passe, pas une spécialisation profonde.
Applications dominées par le frontend en 2024. Bugs spécifiques aux SPA, pièges JWT, GraphQL et CSP moderne sont à peine couverts ou totalement absents.

Points clés

  • Le chapitre recon (sous-domaines, fuites GitHub, endpoints archivés) à lui seul justifie le livre ; la plupart des débutants sautent la recon et ratent la majeure partie de la bounty.
  • Les chapitres sur race conditions et défauts business logic couvrent des classes de bugs qui n'apparaissent pas dans les manuels plus anciens mais paient régulièrement aujourd'hui.
  • Les écrits de Li sur rapports, interaction triage et éthique de divulgation sont la section la plus calme et la plus professionnelle du marché des livres bug-bounty.
  • L'authentification, la gestion de session et le contrôle d'accès restent là où vivent la plupart des vrais bugs.
  • La méthodologie l'emporte sur l'outillage, la structure de cartographie d'une application compte plus que le scanner que vous lancez.
  • Utilisez-le comme référence pour les classes de bugs, puis recoupez avec PortSwigger Academy pour les détails d'exploitation modernes.

Comment ils se comparent

Bug Bounty Bootcamp et The Web Application Hacker's Handbook sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Bug Bounty Bootcamp vise le niveau débutant. The Web Application Hacker's Handbook vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Bug Bounty Bootcamp et The Web Application Hacker's Handbook couvrent tous les deux Web Security, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Bug Bounty Bootcamp

Alternatives à Bug Bounty BootcampQue lire après Bug Bounty Bootcamp

The Web Application Hacker's Handbook

Alternatives à The Web Application Hacker's HandbookQue lire après The Web Application Hacker's Handbook

Thématiques liées

Web SecurityOffensive