Cyber Shelf
Florian Amette
30 avril 20263 min de lecture

Les meilleurs livres pour chasseurs de bugs en 2026

Les sept livres qui aident véritablement les chasseurs de bugs à toucher des primes en 2026. Méthodologie, vraies divulgations et les cibles spécialisées qui paient le mieux.

#bug-bounty#web-security#reading-list#offensive-security

Le bug bounty s'apprend principalement à partir de write-ups, pas de livres. Mais quelques livres compriment des années de write-ups en un cadre structuré, et les ignorer vous coûte des primes.

Voici sept livres qui valent votre argent en 2026.

Le démarrage méthodologique

Bug Bounty Bootcamp de Vickie Li est ce qui se rapproche le plus d'un manuel pour le bug bounty moderne. Recon, méthodologie, les classes de bugs qui paient réellement (auth, IDOR, SSRF, race conditions, XSS moderne) et comment écrire des rapports acceptés du premier coup.

À lire en premier.

Le livre d'études de cas

Real-World Bug Hunting de Peter Yaworski rassemble 30+ vraies divulgations, chacune annotée. C'est comment on apprend la différence entre connaître une classe de bug et en trouver une dans la nature. Le lire équivaut grossièrement à passer trois mois sur les rapports HackerOne, mais compressés.

Le journal qui a lancé le genre

A Bug Hunter's Diary de Tobias Klein est plus ancien et focalisé binaire, mais c'est le meilleur récit long format de ce à quoi ressemble vraiment la chasse aux bugs : sélection d'échantillon, hypothèse, impasses, exploit final. À lire pour l'état d'esprit.

La taxonomie

The Web Application Hacker's Handbook de Stuttard et Pinto est daté, mais vous ne pouvez pas le sauter. La chasse de bug bounty est du pattern matching contre une taxonomie de classes de bugs ; ce livre est la taxonomie la plus nette en imprimé. À coupler avec PortSwigger Academy pour les détails modernes.

Le livre API

Hacking APIs de Corey Ball est là où l'argent se trouve en 2026. La plupart des programmes bounty publics ont maintenant plus de surface API que de surface HTML, et la plupart des chasseurs cherchent encore des bugs HTML. Lisez ceci et suivez la piste API ; le champ est actuellement sous-exploité.

L'angle GraphQL

Black Hat GraphQL d'Aleksandrov, Boemer et Cherny est le seul livre en imprimé sur une cible bien payée et peu concurrentielle. Si vous voyez GraphQL sur un programme, ce livre est votre avantage.

Le filet sécurité navigateur

The Tangled Web de Michal Zalewski est plus ancien mais reste le meilleur livre sur les bizarreries côté navigateur. Les bugs qui paient le mieux en 2026 sont généralement en couches : une nuance CSP plus une redirection plus un frame ancestor malheureux. Zalewski vous apprend à les voir.

L'ordre pour les lire

La plupart des chasseurs bénéficient de cette séquence :

  1. Bug Bounty Bootcamp (le cadre moderne).
  2. Real-World Bug Hunting (études de cas en commençant à chasser).
  3. WAHH + PortSwigger Academy (taxonomie).
  4. Hacking APIs (où le volume est maintenant).
  5. The Tangled Web + Black Hat GraphQL (spécialisation).
  6. A Bug Hunter's Diary (quand vous êtes bloqué et avez besoin de vous souvenir pourquoi).

Une note sur livres vs write-ups : même avec ces sept lus, vous devriez passer dix fois plus de temps sur les write-ups que sur les livres. Les livres sont l'échafaudage ; les write-ups sont le champ. Lisez les deux, chassez quotidiennement, expédiez un rapport par semaine. C'est le vrai parcours.

Questions fréquentes

What is the single best book to start bug bounty in 2026?
Bug Bounty Bootcamp by Vickie Li. It is the closest thing to a textbook for modern bug bounty: recon, methodology, the bug classes that actually pay, automation, and how to write reports that get accepted. Start there, then layer in case studies from Real-World Bug Hunting.
Should I read Bug Bounty Bootcamp or Real-World Bug Hunting first?
Bug Bounty Bootcamp first for the framework, then Real-World Bug Hunting for the case studies. Reading thirty annotated disclosed reports compresses what would otherwise take three months of HackerOne reading, but only after you have the methodology to make sense of them.
Are these books worth it if HackerOne disclosed reports are free?
Yes. The reports are the homework; the books are the curriculum. Without methodology, raw reports are noise. Real-World Bug Hunting is essentially curated, annotated reports — Yaworski did the filtering and contextual annotation that the live Hacktivity feed does not have.
What is the best book for API and GraphQL bug bounty?
Hacking APIs by Corey Ball for the API-attack frame, plus Black Hat GraphQL by Aleks and Farhi for GraphQL specifically. Most public bug bounty programs now have more API surface than HTML surface, and most hunters are still looking for HTML bugs — that asymmetry is your edge.