PDF JPG
本書有DRM加密保護,需使用HyRead閱讀軟體開啟
  • Hacking APIs|剖析Web API漏洞攻擊技法
  • 點閱:143
    14人已收藏
  • 譯自:Hacking APIs:breaking web application programming interfaces
  • 作者: Corey J. Ball編著 , 江湖海譯
  • 出版社:碁峰資訊
  • 出版年:2023
  • ISBN:9786263244146
  • EISBN:9786263245105 PDF
  • 格式:PDF,JPG

 資安人員與開發人員必須知道的API弱點

  「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso

  破解和網際網路緊密相連的功能鏈


  本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。

  這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。

  研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
  ‧使用模糊測試技術枚舉API的使用者資訊和端點
  ‧利用Postman探索資料過度暴露的漏洞
  ‧針對API身分驗證過程執行JSON Web Token攻擊
  ‧結合多種API攻擊技巧來實現NoSQL注入
  ‧攻擊GraphQL API以找出不當的物件級授權漏洞
  ‧學習使用Postman對API進行逆向工程
  ‧從API提供的功能找出程式邏輯缺失

  本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。

作者簡介

Corey J. Ball

  Corey J. Ball是Moss Adams的網路安全經理,負責領導滲透測試服務,擁有10年以上的IT和網路安全方面之工作經驗,並通過CISSP、OSCP和CCISO等專業認證。

  • 序(第xv頁)
  • 致謝(第xix頁)
  • 引言(第xxi頁)
    • 本書亮點(第xxii頁)
    • 編排方式(第xxii頁)
    • 攻擊 API 餐廳(第xxiii頁)
    • 翻譯風格說明(第xxiv頁)
    • 公司名稱或人名的翻譯(第xxvii頁)
    • 產品或工具程式的名稱不做翻譯(第xxvii頁)
    • 縮寫術語不翻譯(第xxvii頁)
    • 部分不按文字原義翻譯(第xxviii頁)
    • 縮寫術語全稱中英對照表(第xxix頁)
  • Part I 關於 WEB API 的安全性(第1頁)
    • 0 為滲透測試做好事前準備(第3頁)
    • 1 Web應用程式的運作方式(第14頁)
    • 2 Web API剖析(第27頁)
    • 3 API常見的漏洞(第53頁)
  • Part II 建置測試 API 的實驗環境(第69頁)
    • 4 架設駭侵 API 的攻擊電腦(第71頁)
    • 5 架設有漏洞的API靶機(第109頁)
  • Part III 攻擊 API(第121頁)
    • 6 偵察情資(第123頁)
    • 7 端點分析(第155頁)
    • 8 攻擊身分驗證機制(第179頁)
    • 9 模糊測試(第201頁)
    • 10 攻擊授權機制(第223頁)
    • 11 批量分配漏洞(第237頁)
    • 12 注入攻擊(第249頁)
  • Part IV 真實的 API 入侵事件(第265頁)
    • 13 應用規避技巧和檢測請求速率限制(第267頁)
    • 14 攻擊 GraphQL(第285頁)
    • 15 真實資料外洩事件和漏洞賞金計畫(第307頁)
  • 總結(第321頁)
  • A Web API 駭侵查核清單(第323頁)
  • B 參考文獻(第327頁)
紙本書 NT$ 580
單本電子書
NT$ 580

還沒安裝 HyRead 3 嗎?馬上免費安裝~
QR Code