Hacking APIs|剖析Web API漏洞攻擊技法
活動訊息
內容簡介
資安人員與開發人員必須知道的API弱點
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失
本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失
本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
目錄
序
致謝
引言
本書亮點
編排方式
攻擊API餐廳
翻譯風格說明
公司名稱或人名的翻譯
產品或工具程式的名稱不做翻譯
縮寫術語不翻譯
部分不按文字原義翻譯
縮寫術語全稱中英對照表
Part I 關於WEB API的安全性
CH0 為滲透測試做好事前準備
CH1 Web應用程式的運作方式
CH2 Web API剖析
CH3 API常見的漏洞
Part II 建置測試API的實驗環境
CH4 架設駭侵API的攻擊電腦
實作練習一:枚舉REST API裡的使用者帳戶
CH5 架設有漏洞的API靶機
實作練習二:尋找要攻擊的API
Part III 攻擊API
CH6 偵察情資
實作練習三:為黑箱測試執行主動偵察.
CH7 端點分析
實作練習四:組建crAPI集合及尋找過度暴露的資料
CH8 攻擊身分驗證機制
實作練習五:破解crAPI JWT簽章
CH9 模糊測試
實作練習六:以模糊測試尋找不當資產管理漏洞
CH10 攻擊授權機制
實作練習七:找出另一位使用者的車輛位置
CH11 批量分配漏洞
實作練習八:竄改網路商店的商品價格.
CH12 注入攻擊
實作練習九:利用NoSQL注入偽造優惠券
Part IV 真實的API入侵事件
CH13 應用規避技巧和檢測請求速率限制
CH14 攻擊GraphQL
CH15 真實資料外洩事件和漏洞賞金計畫
總結
APP A Web API駭侵查核清單
APP B 參考文獻
致謝
引言
本書亮點
編排方式
攻擊API餐廳
翻譯風格說明
公司名稱或人名的翻譯
產品或工具程式的名稱不做翻譯
縮寫術語不翻譯
部分不按文字原義翻譯
縮寫術語全稱中英對照表
Part I 關於WEB API的安全性
CH0 為滲透測試做好事前準備
CH1 Web應用程式的運作方式
CH2 Web API剖析
CH3 API常見的漏洞
Part II 建置測試API的實驗環境
CH4 架設駭侵API的攻擊電腦
實作練習一:枚舉REST API裡的使用者帳戶
CH5 架設有漏洞的API靶機
實作練習二:尋找要攻擊的API
Part III 攻擊API
CH6 偵察情資
實作練習三:為黑箱測試執行主動偵察.
CH7 端點分析
實作練習四:組建crAPI集合及尋找過度暴露的資料
CH8 攻擊身分驗證機制
實作練習五:破解crAPI JWT簽章
CH9 模糊測試
實作練習六:以模糊測試尋找不當資產管理漏洞
CH10 攻擊授權機制
實作練習七:找出另一位使用者的車輛位置
CH11 批量分配漏洞
實作練習八:竄改網路商店的商品價格.
CH12 注入攻擊
實作練習九:利用NoSQL注入偽造優惠券
Part IV 真實的API入侵事件
CH13 應用規避技巧和檢測請求速率限制
CH14 攻擊GraphQL
CH15 真實資料外洩事件和漏洞賞金計畫
總結
APP A Web API駭侵查核清單
APP B 參考文獻
配送方式
-
台灣
- 國內宅配:本島、離島
-
到店取貨:
不限金額免運費
-
海外
- 國際快遞:全球
-
港澳店取:
訂購/退換貨須知
加入金石堂 LINE 官方帳號『完成綁定』,隨時掌握出貨動態:
提醒您!!
金石堂及銀行均不會請您操作ATM! 如接獲電話要求您前往ATM提款機,請不要聽從指示,以免受騙上當!
退換貨須知:
**提醒您,鑑賞期不等於試用期,退回商品須為全新狀態**
-
依據「消費者保護法」第19條及行政院消費者保護處公告之「通訊交易解除權合理例外情事適用準則」,以下商品購買後,除商品本身有瑕疵外,將不提供7天的猶豫期:
- 易於腐敗、保存期限較短或解約時即將逾期。(如:生鮮食品)
- 依消費者要求所為之客製化給付。(客製化商品)
- 報紙、期刊或雜誌。(含MOOK、外文雜誌)
- 經消費者拆封之影音商品或電腦軟體。
- 非以有形媒介提供之數位內容或一經提供即為完成之線上服務,經消費者事先同意始提供。(如:電子書、電子雜誌、下載版軟體、虛擬商品…等)
- 已拆封之個人衛生用品。(如:內衣褲、刮鬍刀、除毛刀…等)
- 若非上列種類商品,均享有到貨7天的猶豫期(含例假日)。
- 辦理退換貨時,商品(組合商品恕無法接受單獨退貨)必須是您收到商品時的原始狀態(包含商品本體、配件、贈品、保證書、所有附隨資料文件及原廠內外包裝…等),請勿直接使用原廠包裝寄送,或於原廠包裝上黏貼紙張或書寫文字。
- 退回商品若無法回復原狀,將請您負擔回復原狀所需費用,嚴重時將影響您的退貨權益。
商品評價