Cyber Shelf

// Comparaison

Real-World Cryptography vs The Web Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

Intermédiaire
4/52011
The Web Application Hacker's Handbook

Trouver et exploiter les failles de sécurité

Dafydd Stuttard, Marcus Pinto

La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.

À lire si

Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.
Quiconque passe des challenges CTF web à des engagements réels et a besoin d'un modèle mental systématique de la surface d'attaque.

À éviter si

Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.
Applications dominées par le frontend en 2024. Bugs spécifiques aux SPA, pièges JWT, GraphQL et CSP moderne sont à peine couverts ou totalement absents.

Points clés

  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.
  • L'authentification, la gestion de session et le contrôle d'accès restent là où vivent la plupart des vrais bugs.
  • La méthodologie l'emporte sur l'outillage, la structure de cartographie d'une application compte plus que le scanner que vous lancez.
  • Utilisez-le comme référence pour les classes de bugs, puis recoupez avec PortSwigger Academy pour les détails d'exploitation modernes.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 4/5 pour The Web Application Hacker's Handbook). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et The Web Application Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Real-World Cryptography et The Web Application Hacker's Handbook couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

The Web Application Hacker's Handbook

Alternatives à The Web Application Hacker's HandbookQue lire après The Web Application Hacker's Handbook

Thématiques liées

AppSec