The Web Application Hacker's Handbook
Trouver et exploiter les failles de sécurité · 2ème édition
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Dafydd Stuttard,Marcus Pinto
- Publié
- 2011
- Éditeur
- Wiley
- Pages
- 912
- Édition
- 2ème édition
- Langue
- English
Table des matières
21 chapitres · 30 sections- 1
Web Application (In)security
- 2
Core Defense Mechanisms
- 3
Web Application Technologies
- 4
Mapping the Application
- Enumerating content and functionality
- Analyzing the application
- Identifying entry points for user input
- Identifying server-side technologies
- Mapping the attack surface
- 5
Bypassing Client-Side Controls
- 6
Attacking Authentication
- Authentication technologies
- Design flaws in authentication mechanisms
- Implementation flaws
- Securing authentication
- 7
Attacking Session Management
- The need for state
- Weaknesses in token generation
- Weaknesses in session token handling
- Securing session management
- 8
Attacking Access Controls
- 9
Attacking Data Stores
- Injecting into interpreted contexts
- Injecting into SQL
- Injecting into NoSQL
- Injecting into XPath
- Injecting into LDAP
- 10
Attacking Back-End Components
- OS command injection
- File path traversal
- File inclusion
- Mail-service injection
- 11
Attacking Application Logic
- 12
Attacking Users: Cross-Site Scripting
- Varieties of XSS
- Finding and exploiting XSS
- Preventing XSS
- 13
Attacking Users: Other Techniques
- Request forgery
- UI redress (clickjacking)
- Cross-domain data capture
- Same-origin policy
- Browser exploitation
- 14
Automating Customized Attacks
- 15
Exploiting Information Disclosure
- 16
Attacking Native Compiled Applications
- 17
Attacking Application Architecture
- 18
Attacking the Application Server
- 19
Finding Vulnerabilities in Source Code
- 20
A Web Application Hacker's Toolkit
- 21
A Web Application Hacker's Methodology
Prérequis
Connaissance pratique de HTTP, HTML, et au moins un langage côté serveur. La familiarité avec Burp Suite aide ; le livre est écrit par ses créateurs.
À lire si
Quiconque passe des challenges CTF web à des engagements réels et a besoin d'un modèle mental systématique de la surface d'attaque.
À éviter si
Applications dominées par le frontend en 2024. Bugs spécifiques aux SPA, pièges JWT, GraphQL et CSP moderne sont à peine couverts ou totalement absents.
Points clés
- L'authentification, la gestion de session et le contrôle d'accès restent là où vivent la plupart des vrais bugs.
- La méthodologie l'emporte sur l'outillage, la structure de cartographie d'une application compte plus que le scanner que vous lancez.
- Utilisez-le comme référence pour les classes de bugs, puis recoupez avec PortSwigger Academy pour les détails d'exploitation modernes.
Notes
Structuré comme une taxonomie, écrit par des gens qui ont fait le travail. Le web a changé en dessous (SameSite, JWT, prototype pollution, SSRF dans les metadata cloud sont absents), donc utilisez-le comme carte fondatrice et superposez PortSwigger Academy pour le terrain tel qu'il existe vraiment. Une troisième édition serait le livre le plus utile du domaine.
Que lire avant
Que lire avant The Web Application Hacker's Handbook →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2022
Hacking APIs
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
Débutant · 2021
Bug Bounty Bootcamp
La marche pragmatique de Vickie Li à travers le workflow bug-bounty, du choix d'un programme et de la recon jusqu'au reporting de findings qui paient réellement.
Que lire ensuite
Que lire après The Web Application Hacker's Handbook →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2022
Hacking APIs
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
Avancé · 2011
The Tangled Web
Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.
Explorer des livres similaires
Alternatives à The Web Application Hacker's Handbook →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2022
Hacking APIs
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
Intermédiaire · 2021
Real-World Cryptography
Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.