// Comparaison
The Tangled Web vs The Web Application Hacker's Handbook : lequel lire ?
Deux livres de cybersécurité sur Web Security, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.
Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.
Trouver et exploiter les failles de sécurité
Dafydd Stuttard, Marcus Pinto
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
À lire si
À éviter si
Points clés
- Le modèle de sécurité du web n'est pas conçu ; il est excavé.
- Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
- Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.
- L'authentification, la gestion de session et le contrôle d'accès restent là où vivent la plupart des vrais bugs.
- La méthodologie l'emporte sur l'outillage, la structure de cartographie d'une application compte plus que le scanner que vous lancez.
- Utilisez-le comme référence pour les classes de bugs, puis recoupez avec PortSwigger Academy pour les détails d'exploitation modernes.
Comment ils se comparent
Nous notons The Tangled Web plus haut (5/5 contre 4/5 pour The Web Application Hacker's Handbook). Pour la plupart des lecteurs, The Tangled Web est le choix principal et The Web Application Hacker's Handbook un complément utile.
The Tangled Web vise le niveau avancé. The Web Application Hacker's Handbook vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.
The Tangled Web et The Web Application Hacker's Handbook couvrent tous les deux Web Security, AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.
Continuer la lecture
The Web Application Hacker's Handbook
→ Alternatives à The Web Application Hacker's Handbook→ Que lire après The Web Application Hacker's Handbook