Cyber Shelf

// Comparaison

Hacking APIs vs Real-World Bug Hunting : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52022
Hacking APIs

Breaking Web Application Programming Interfaces

Corey J. Ball

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

Débutant
4/52019
Real-World Bug Hunting

A Field Guide to Web Hacking

Peter Yaworski

Peter Yaworski décortique de vrais rapports divulgués sur les principaux programmes de bug bounty, organisés par classe de vulnérabilité, pour apprendre à reconnaître les patterns dans la nature plutôt que sur des exemples de manuel.

À lire si

Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.
Aspirants chasseurs de bugs qui veulent apprendre l'écart entre connaître une classe de bug et en trouver une. Les études de cas annotées de Yaworski sont ce qui se rapproche le plus d'un manuel sur ce à quoi ressemblent les vraies divulgations.

À éviter si

Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.
Lecteurs voulant un playbook méthodologique. Le livre est études-de-cas-organisées-par-classe, pas organisé par workflow ; pour le côté workflow, lisez Bug Bounty Bootcamp.

Points clés

  • La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
  • BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
  • Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.
  • Lire 30 rapports annotés condense ce qui prendrait autrement trois mois de lecture HackerOne ; le livre est à haut levier pour démarrer.
  • Le chapitre 'que faire quand on trouve quelque chose' est la partie la plus sous-estimée ; le rapport est la moitié de la bounty, et la plupart des débutants écrivent de mauvais rapports.
  • Les classes couvertes (XSS, IDOR, SSRF, OAuth, race conditions, business logic) correspondent directement à ce qui paie actuellement sur les programmes publics.

Comment ils se comparent

Hacking APIs et Real-World Bug Hunting sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Hacking APIs vise le niveau intermédiaire. Real-World Bug Hunting vise le niveau débutant. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Hacking APIs et Real-World Bug Hunting couvrent tous les deux Web Security, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Hacking APIs

Alternatives à Hacking APIsQue lire après Hacking APIs

Real-World Bug Hunting

Alternatives à Real-World Bug HuntingQue lire après Real-World Bug Hunting

Thématiques liées

Web SecurityOffensive