Description générale
Le livre compte environ 250 pages et se compose de 10 chapitres. Il inclut de nombreux extraits de code et des illustrations. Le niveau de difficulté de lecture est léger/moyen.
Description brève
Nous allons faire un tour rapide des chapitres du livre.
Chapitre 1. Fondamentaux de la sécurité.
Les bases de la sécurité sont énoncées de manière concise – de l’ingénierie sociale aux attaques DDoS.
Chapitre 2. Méthodes simples de piratage.
Des exemples illustrent comment bâtir un système de vote fiable, notamment en utilisant des captchas.
Chapitre 3. Piratage de scripts PHP.
On étudie les manières de nuire à PHP lorsqu’il reçoit et traite les paramètres de l’URL sur le serveur. D’autres méthodes sont également abordées.
Chapitre 4. Travail avec les commandes système.
On explique les appels aux commandes du système. On aborde également la manipulation des fichiers (par ex., upload sur serveur).
Chapitre 5. Injection SQL (PHP + MySQL).
On analyse les vulnérabilités dans la barre d’adresse du navigateur et les formulaires mal filtrés/traités.
Chapitre 6. Injection SQL (.NET + MS SQL Server).
En pratique, c’est la même chose mais appliquée à C#.
Chapitre 7. CSRF, ou vulnérabilité XSRF.
Le titre en dit long : on regarde les attaques cross‑site et les moyens de s’en prémunir.
Chapitre 8. Attaque DoS sur un site web.
L’article décrit les attaques distribuées visant à épuiser les ressources du système. On décompose les failles fréquentes des sites et serveurs.
Chapitre 9. Autorisation.
Différentes méthodes d’autorisation simples sont détaillées – de cookies à sessions – ainsi que les faiblesses de chacune.
Chapitre 10. XSS.
Ici, on parle de l’interception de données grâce au JavaScript.
Opinion
À ce moment-là, j’avais déjà parcouru une dizaine de livres sur la sécurité et les stratégies d’attaque et de protection des serveurs web. À mesure que l’on lisait un nouveau livre, la quantité d’informations réellement nouvelles diminuait — car les thèmes étaient les mêmes, souvent traités de façon superficielle, et peu de gens veulent approfondir et rédiger de gros ouvrages sur des aspects précis.
Néanmoins, ce livre m’a régulièrement fourni de nouvelles infos, et à la fin de sa lecture, j’ai eu un résumé de 15 pages. Cela témoigne de la valeur du livre, même pour moi.
De façon plus large, sans me limiter à ma propre expérience, si vous souhaitez plonger dans la cybersécurité et ne faites pas encore l’expert, je recommande sans équivoque de lire ce livre.
Ce texte constitue uniquement une critique du livre et ne possède pas de caractère de recommandation. Les outils et méthodes décrits dans le livre sont présentés à titre informatif – ce n’est pas un appel à l’action de ma part. De plus, certaines technologies ou pratiques peuvent être restreintes, bloquées ou illégales dans certains pays ; leur utilisation doit être évaluée de façon indépendante, en prenant en compte la législation locale et la responsabilité personnelle.
