Cyber Shelf

// Comparaison

Real-World Cryptography vs The Database Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

Avancé
3/52005
The Database Hacker's Handbook

Defending Database Servers

David Litchfield, Chris Anley, John Heasman, Bill Grindlay

La référence exhaustive 2005 de Litchfield, Anley, Heasman et Grindlay sur l'attaque et la défense d'Oracle, SQL Server, DB2, MySQL, PostgreSQL, Sybase et Informix — l'ère où le moteur de base de données lui-même était la cible facile.

À lire si

Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.
Chercheurs de vulnérabilités et DBA intéressés par la généalogie de la sécurité base de données. Les chapitres Oracle et SQL Server restent les références imprimées les plus complètes sur la surface d'attaque interne des moteurs et les patterns que Litchfield a rendus célèbres.

À éviter si

Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.
Quiconque a besoin du tradecraft actuel base-de-données cloud (RDS, Aurora, Cosmos, BigQuery), de SQLi moderne couche application (couvert par The Web Application Hacker's Handbook), ou de techniques d'injection NoSQL. Le livre précède presque tout ce qui porte la sécurité base de données 2026.

Points clés

  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.
  • Les moteurs de base de données étaient autrefois routinement RCE-ables depuis une session peu privilégiée ; les chapitres documentent pourquoi la discipline a glissé vers les bases cloud managées.
  • Le matériel injection PL/SQL Oracle est encore la référence canonique et a influencé une génération de recherche de vulnérabilités.
  • L'argument structurel du livre — chaque base est un OS différent — explique pourquoi la connaissance profonde par moteur est encore requise pour un travail sérieux de sécurité base de données.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 3/5 pour The Database Hacker's Handbook). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et The Database Hacker's Handbook un complément utile.

Real-World Cryptography vise le niveau intermédiaire. The Database Hacker's Handbook vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Real-World Cryptography et The Database Hacker's Handbook couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

The Database Hacker's Handbook

Alternatives à The Database Hacker's HandbookQue lire après The Database Hacker's Handbook

Thématiques liées

AppSec