Cyber Shelf

// Comparaison

The Database Hacker's Handbook vs The Tangled Web : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
3/52005
The Database Hacker's Handbook

Defending Database Servers

David Litchfield, Chris Anley, John Heasman, Bill Grindlay

La référence exhaustive 2005 de Litchfield, Anley, Heasman et Grindlay sur l'attaque et la défense d'Oracle, SQL Server, DB2, MySQL, PostgreSQL, Sybase et Informix — l'ère où le moteur de base de données lui-même était la cible facile.

Avancé
5/52011
The Tangled Web

Un guide pour sécuriser les applications web modernes

Michal Zalewski

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

À lire si

Chercheurs de vulnérabilités et DBA intéressés par la généalogie de la sécurité base de données. Les chapitres Oracle et SQL Server restent les références imprimées les plus complètes sur la surface d'attaque interne des moteurs et les patterns que Litchfield a rendus célèbres.
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.

À éviter si

Quiconque a besoin du tradecraft actuel base-de-données cloud (RDS, Aurora, Cosmos, BigQuery), de SQLi moderne couche application (couvert par The Web Application Hacker's Handbook), ou de techniques d'injection NoSQL. Le livre précède presque tout ce qui porte la sécurité base de données 2026.
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.

Points clés

  • Les moteurs de base de données étaient autrefois routinement RCE-ables depuis une session peu privilégiée ; les chapitres documentent pourquoi la discipline a glissé vers les bases cloud managées.
  • Le matériel injection PL/SQL Oracle est encore la référence canonique et a influencé une génération de recherche de vulnérabilités.
  • L'argument structurel du livre — chaque base est un OS différent — explique pourquoi la connaissance profonde par moteur est encore requise pour un travail sérieux de sécurité base de données.
  • Le modèle de sécurité du web n'est pas conçu ; il est excavé.
  • Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
  • Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.

Comment ils se comparent

Nous notons The Tangled Web plus haut (5/5 contre 3/5 pour The Database Hacker's Handbook). Pour la plupart des lecteurs, The Tangled Web est le choix principal et The Database Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

The Database Hacker's Handbook et The Tangled Web couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

The Database Hacker's Handbook

Alternatives à The Database Hacker's HandbookQue lire après The Database Hacker's Handbook

The Tangled Web

Alternatives à The Tangled WebQue lire après The Tangled Web

Thématiques liées

AppSec