Cyber Shelf

// Comparaison

Hacking APIs vs The Tangled Web : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52022
Hacking APIs

Breaking Web Application Programming Interfaces

Corey J. Ball

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

Avancé
5/52011
The Tangled Web

Un guide pour sécuriser les applications web modernes

Michal Zalewski

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

À lire si

Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.

À éviter si

Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.

Points clés

  • La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
  • BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
  • Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.
  • Le modèle de sécurité du web n'est pas conçu ; il est excavé.
  • Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
  • Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.

Comment ils se comparent

Nous notons The Tangled Web plus haut (5/5 contre 4/5 pour Hacking APIs). Pour la plupart des lecteurs, The Tangled Web est le choix principal et Hacking APIs un complément utile.

Hacking APIs vise le niveau intermédiaire. The Tangled Web vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Hacking APIs et The Tangled Web couvrent tous les deux Web Security, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Hacking APIs

Alternatives à Hacking APIsQue lire après Hacking APIs

The Tangled Web

Alternatives à The Tangled WebQue lire après The Tangled Web

Thématiques liées

Web SecurityAppSec