Les meilleurs livres de sécurité applicative web en 2026
7 livres de sécurité des applications web à lire en 2026, des fondations au bug bounty. Critiques honnêtes : lesquels tiennent, par où commencer.
La sécurité applicative web a le marché de livres le plus étrange de tous les sous-champs : la plupart des textes canoniques ont plus d'une décennie, le web a complètement changé, et pourtant ils vous enseignent encore des choses introuvables ailleurs.
Voici comment lire le champ en 2026.
Le livre de taxonomie (à lire malgré la date)
The Web Application Hacker's Handbook de Stuttard et Pinto date de 2011. Les exploits spécifiques sont datés, plusieurs catégories entières (auth moderne, GraphQL, surface d'attaque cloud-native) sont manquantes ou minces. Et c'est toujours une lecture obligatoire.
La raison : rien d'autre ne vous donne la taxonomie aussi clairement. Une fois que vous connaissez la forme de chaque classe de bug web, les variantes modernes sont reconnaissables. À coupler avec PortSwigger Academy pour les détails actuels.
Le modèle mental sécurité navigateur
The Tangled Web de Michal Zalewski est le meilleur livre jamais écrit sur pourquoi le web est ce qu'il est. Origines, négociation de type de contenu, cookies, l'absurdité en couches qu'est le modèle de sécurité du navigateur moderne. Plus ancien mais evergreen sur les principes.
À lire avant d'écrire votre première content security policy.
Le primer développeur
Web Security for Developers de Malcolm McDonald est le livre le plus calme et le plus pratique sur la sécurité web en imprimé. Même si vous n'écrivez pas de code, lire la vue du développeur vous montre exactement quelles erreurs apparaissent dans vos soumissions bug bounty.
Le livre API
Hacking APIs de Corey Ball est le livre de sécurité web moderne qui n'existe pas pour les apps monolithiques. REST, découverte GraphQL, BOLA, mass assignment, abus JWT. La majeure partie de la surface d'attaque en production aujourd'hui est API ; c'est votre livre pour cela.
Le spécialiste GraphQL
Black Hat GraphQL d'Aleksandrov, Boemer et Cherny est le seul livre sérieux en imprimé sur les attaques GraphQL. Introspection, batching, abus profondeur de champ, attaques coût de requête. À sauter si vous ne voyez pas GraphQL dans votre travail ; obligatoire si vous le voyez.
Les livres des praticiens bug bounty
Real-World Bug Hunting de Peter Yaworski est le livre d'études de cas : 30+ vraies divulgations bug bounty, chacune décortiquée. C'est comment on apprend l'écart entre connaître une classe de vulnérabilité et la trouver réellement.
Bug Bounty Bootcamp de Vickie Li est le compagnon pratique : méthodologie, recon, automatisation et les classes de bugs spécifiques que vous trouverez sur les programmes modernes. Plus actuel que WAHH sur le paysage de bugs moderne.
Un ordre de lecture pratique
Pour un aspirant pro de la sécurité web, voici l'ordre que nous donnerions :
- Web Security for Developers (la vue du développeur).
- PortSwigger Academy en parallèle de The Web Application Hacker's Handbook.
- The Tangled Web pour le modèle mental sécurité navigateur.
- Hacking APIs quand vous commencez à tester des cibles modernes.
- Real-World Bug Hunting + Bug Bounty Bootcamp quand vous commencez à chasser.
- Black Hat GraphQL au besoin.
La sécurité web est la spécialisation la plus facile à percer et la plus dure à exceller. Les livres couvrent la partie facile. L'excellence vient de casser de vraies applications, lentement, pendant des années.
Questions fréquentes
- The Web Application Hacker's Handbook vaut-il encore la lecture en 2026 ?
- Oui, avec des réserves. Les exploits précis du livre de Stuttard et Pinto sont datés et plusieurs classes de bugs modernes (CSP, auth moderne, GraphQL) manquent. Mais la taxonomie des classes de bugs est inégalée. Lisez-le pour le cadre, puis ajoutez le détail moderne via PortSwigger Academy et les livres dédiés aux API.
- Faut-il lire des livres ou utiliser PortSwigger Academy pour la sécurité web ?
- Les deux. PortSwigger Academy est gratuit et couvre les classes de bugs modernes avec des labos pratiques mieux qu'aucun livre. Les livres donnent la taxonomie structurée et l'ordre de lecture. Utilisez The Web Application Hacker's Handbook + PortSwigger Academy comme un cursus apparié, pas comme des alternatives.
- Existe-t-il un remplaçant moderne de The Web Application Hacker's Handbook ?
- Bug Bounty Bootcamp de Vickie Li (2021) est ce qui s'en rapproche le plus. Il couvre le workflow et les classes de bugs qui paient réellement sur les programmes modernes (auth, IDOR, SSRF, race conditions, XSS moderne, logique métier). Il est plus étroit que WAHH mais plus à jour.
- Quel est le meilleur livre sur la sécurité des API en 2026 ?
- Hacking APIs de Corey Ball. Aujourd'hui la majeure partie de la surface d'attaque en production est l'API, pas le HTML, et Ball couvre REST, la découverte GraphQL, BOLA, le mass assignment et les abus de JWT mieux que tout autre livre. À associer à Black Hat GraphQL pour l'approfondissement GraphQL.
