Cyber Shelf

// Comparaison

Hacking APIs vs Real-World Cryptography : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52022
Hacking APIs

Breaking Web Application Programming Interfaces

Corey J. Ball

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

À lire si

Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.

À éviter si

Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.

Points clés

  • La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
  • BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
  • Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.
  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 4/5 pour Hacking APIs). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et Hacking APIs un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Hacking APIs et Real-World Cryptography couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Hacking APIs

Alternatives à Hacking APIsQue lire après Hacking APIs

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

Thématiques liées

AppSec