Cyber Shelf
Florian Amette
30 avril 20263 min de lecture

Les meilleurs livres de sécurité applicative web en 2026

Sept livres de sécurité applicative web qui valent la lecture en 2026, de la taxonomie fondatrice aux attaques API et GraphQL modernes.

#web-security#application-security#reading-list#appsec

La sécurité applicative web a le marché de livres le plus étrange de tous les sous-champs : la plupart des textes canoniques ont plus d'une décennie, le web a complètement changé, et pourtant ils vous enseignent encore des choses introuvables ailleurs.

Voici comment lire le champ en 2026.

Le livre de taxonomie (à lire malgré la date)

The Web Application Hacker's Handbook de Stuttard et Pinto date de 2011. Les exploits spécifiques sont datés, plusieurs catégories entières (auth moderne, GraphQL, surface d'attaque cloud-native) sont manquantes ou minces. Et c'est toujours une lecture obligatoire.

La raison : rien d'autre ne vous donne la taxonomie aussi clairement. Une fois que vous connaissez la forme de chaque classe de bug web, les variantes modernes sont reconnaissables. À coupler avec PortSwigger Academy pour les détails actuels.

Le modèle mental sécurité navigateur

The Tangled Web de Michal Zalewski est le meilleur livre jamais écrit sur pourquoi le web est ce qu'il est. Origines, négociation de type de contenu, cookies, l'absurdité en couches qu'est le modèle de sécurité du navigateur moderne. Plus ancien mais evergreen sur les principes.

À lire avant d'écrire votre première content security policy.

Le primer développeur

Web Security for Developers de Malcolm McDonald est le livre le plus calme et le plus pratique sur la sécurité web en imprimé. Même si vous n'écrivez pas de code, lire la vue du développeur vous montre exactement quelles erreurs apparaissent dans vos soumissions bug bounty.

Le livre API

Hacking APIs de Corey Ball est le livre de sécurité web moderne qui n'existe pas pour les apps monolithiques. REST, découverte GraphQL, BOLA, mass assignment, abus JWT. La majeure partie de la surface d'attaque en production aujourd'hui est API ; c'est votre livre pour cela.

Le spécialiste GraphQL

Black Hat GraphQL d'Aleksandrov, Boemer et Cherny est le seul livre sérieux en imprimé sur les attaques GraphQL. Introspection, batching, abus profondeur de champ, attaques coût de requête. À sauter si vous ne voyez pas GraphQL dans votre travail ; obligatoire si vous le voyez.

Les livres des praticiens bug bounty

Real-World Bug Hunting de Peter Yaworski est le livre d'études de cas : 30+ vraies divulgations bug bounty, chacune décortiquée. C'est comment on apprend l'écart entre connaître une classe de vulnérabilité et la trouver réellement.

Bug Bounty Bootcamp de Vickie Li est le compagnon pratique : méthodologie, recon, automatisation et les classes de bugs spécifiques que vous trouverez sur les programmes modernes. Plus actuel que WAHH sur le paysage de bugs moderne.

Un ordre de lecture pratique

Pour un aspirant pro de la sécurité web, voici l'ordre que nous donnerions :

  1. Web Security for Developers (la vue du développeur).
  2. PortSwigger Academy en parallèle de The Web Application Hacker's Handbook.
  3. The Tangled Web pour le modèle mental sécurité navigateur.
  4. Hacking APIs quand vous commencez à tester des cibles modernes.
  5. Real-World Bug Hunting + Bug Bounty Bootcamp quand vous commencez à chasser.
  6. Black Hat GraphQL au besoin.

La sécurité web est la spécialisation la plus facile à percer et la plus dure à exceller. Les livres couvrent la partie facile. L'excellence vient de casser de vraies applications, lentement, pendant des années.

Questions fréquentes

Is The Web Application Hacker's Handbook still worth reading in 2026?
Yes, with caveats. The specific exploits in Stuttard and Pinto's book are dated and several modern bug classes (CSP, modern auth, GraphQL) are missing. But the taxonomy of bug classes is unmatched. Read it for the framework, then layer modern detail from PortSwigger Academy and the API-specific books.
Should I read books or use PortSwigger Academy for web security?
Both. PortSwigger Academy is free and covers the modern bug classes with hands-on labs better than any book. Books give you the structured taxonomy and reading order. Use the Web Application Hacker's Handbook + PortSwigger Academy as a paired curriculum, not as alternatives.
Is there a modern replacement for The Web Application Hacker's Handbook?
Bug Bounty Bootcamp by Vickie Li (2021) is the closest thing. It covers the workflow and bug classes that actually pay on modern programs (auth, IDOR, SSRF, race conditions, modern XSS, business logic). It is narrower than WAHH but more current.
What is the best book for API security in 2026?
Hacking APIs by Corey Ball. Most production attack surface today is API, not HTML, and Ball covers REST, GraphQL discovery, BOLA, mass assignment, and JWT abuses better than anything else in print. Pair with Black Hat GraphQL for the GraphQL deep dive.