Les meilleurs livres sur AppSec

Designing Secure Software

A Guide for Developers

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

Real-World Cryptography

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

Threat Modeling

Designing for Security

L'introduction de praticien d'Adam Shostack à la modélisation des menaces : STRIDE, arbres d'attaque, et comment intégrer la pratique au cycle de vie logiciel réel.

The Tangled Web

Un guide pour sécuriser les applications web modernes

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

The Art of Software Security Assessment

Identifying and Preventing Software Vulnerabilities

Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.

Black Hat GraphQL

Attacking Next Generation APIs

Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.

Hacking APIs

Breaking Web Application Programming Interfaces

L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.

Alice and Bob Learn Application Security

Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.

Web Security for Developers

Real Threats, Practical Defense

Le primer côté développeur de Malcolm McDonald sur les problèmes classe OWASP, cadré autour de vraies attaques et défendu avec des patterns de code plutôt qu'avec des produits vendor.

The Web Application Hacker's Handbook

Trouver et exploiter les failles de sécurité

La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.

Cryptography Engineering

Principes de conception et applications pratiques

Une introduction à la cryptographie pour ingénieurs en exercice qui prend les pièges d'implémentation plus au sérieux que la plupart.

iOS Application Security

The Definitive Guide for Hackers and Developers

David Thiel sur attaquer et défendre les apps iOS : sandbox plateforme, surfaces IPC, sémantique keychain, sécurité du transport et les patterns qui introduisent de vrais bugs.

The Mobile Application Hacker's Handbook

La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.

The Database Hacker's Handbook

Defending Database Servers

La référence exhaustive 2005 de Litchfield, Anley, Heasman et Grindlay sur l'attaque et la défense d'Oracle, SQL Server, DB2, MySQL, PostgreSQL, Sybase et Informix — l'ère où le moteur de base de données lui-même était la cible facile.