The.Web.Application.Hackers.Handbook.Finding.And.Exploiting.Security.Flaws.Dafydd.Stuttard.Marcus.Pinto.2011.PDF.EN.MYLAR

The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws (2nd Edition)
Dafydd Stuttard, Marcus Pinto

Résumé
Considéré par beaucoup comme la bible de la sécurité web, cet ouvrage de référence offre une méthodologie complète pour tester la sécurité des applications modernes. Rédigé par Dafydd Stuttard (alias PortSwigger), le créateur de la célèbre suite d'outils Burp Suite, et Marcus Pinto, ce livre dépasse la simple énumération théorique pour plonger le lecteur dans la pratique offensive réelle (Penetration Testing).

Cette seconde édition met à jour les techniques d'attaque pour s'adapter à l'évolution rapide du web. Elle couvre en profondeur les nouvelles surfaces d'attaque introduites par les technologies récentes (à l'époque de la publication) comme HTML5, les interactions inter-domaines complexes et les frameworks d'interface utilisateur. Les auteurs décortiquent chaque composant d'une application web, de l'authentification à la logique métier, pour montrer comment les défenses peuvent être contournées.

Le livre se distingue par son approche structurée : il ne se contente pas d'expliquer comment lancer une injection SQL ou une attaque XSS, mais enseigne comment cartographier une application, identifier ses points d'entrée et combiner plusieurs vulnérabilités mineures pour compromettre un système entier. Le dernier chapitre consolide ces connaissances en proposant une méthodologie de test pas-à-pas, essentielle pour tout auditeur professionnel.

Points clés

Exploration approfondie des mécanismes de défense centraux (authentification, gestion de session, contrôle d'accès)

Techniques avancées d'exploitation (SQL Injection, XSS, CSRF, et failles de logique métier)

Focus sur les technologies côté client et les nouvelles vecteurs d'attaque (UI Redress, HTML5)

Intégration forte avec l'outil Burp Suite pour l'automatisation et l'analyse des requêtes

Chapitre dédié à la révision de code source (Java, PHP, .NET) pour repérer les vulnérabilités

Méthodologie complète d'audit de sécurité web résumant les étapes critiques d'un test d'intrusion

Public
Pentesters (testeurs d'intrusion), consultants en sécurité, développeurs web soucieux de sécuriser leur code, et toute personne souhaitant comprendre comment les pirates analysent et attaquent les applications web.

---