Cyber Shelf

// Comparaison

Hacking APIs vs The Web Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52022
Hacking APIs

Breaking Web Application Programming Interfaces

Corey J. Ball

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

Intermédiaire
4/52011
The Web Application Hacker's Handbook

Trouver et exploiter les failles de sécurité

Dafydd Stuttard, Marcus Pinto

La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.

À lire si

Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.
Quiconque passe des challenges CTF web à des engagements réels et a besoin d'un modèle mental systématique de la surface d'attaque.

À éviter si

Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.
Applications dominées par le frontend en 2024. Bugs spécifiques aux SPA, pièges JWT, GraphQL et CSP moderne sont à peine couverts ou totalement absents.

Points clés

  • La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
  • BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
  • Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.
  • L'authentification, la gestion de session et le contrôle d'accès restent là où vivent la plupart des vrais bugs.
  • La méthodologie l'emporte sur l'outillage, la structure de cartographie d'une application compte plus que le scanner que vous lancez.
  • Utilisez-le comme référence pour les classes de bugs, puis recoupez avec PortSwigger Academy pour les détails d'exploitation modernes.

Comment ils se comparent

Hacking APIs et The Web Application Hacker's Handbook sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Hacking APIs et The Web Application Hacker's Handbook couvrent tous les deux Web Security, AppSec, Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Hacking APIs

Alternatives à Hacking APIsQue lire après Hacking APIs

The Web Application Hacker's Handbook

Alternatives à The Web Application Hacker's HandbookQue lire après The Web Application Hacker's Handbook

Thématiques liées

Web SecurityAppSecOffensive