得书 - 好书推荐、正版图书免费阅读

编辑推荐

全面介绍Web API的攻击方法和防御策略。

内容简介

本书分为4个部分，共16章。

第一部分从API渗透测试的基础理论入手，探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。

第二部分带领读者搭建自己的API测试实验室，结合2个实验案例，指导读者找到脆弱的API目标。

第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章，帮助读者了解API攻击的过程和方法，结合7个实验案例，帮助读者进行API测试。

第四部分介绍3个真实的API攻防案例，旨在针对性地找到提高API安全性的具体策略和方案。

作者简介

作者科里·鲍尔，是Moss Adams的网络安全咨询经理，也是渗透测试服务部门的负责人。他在信息技术和网络安全领域积累了超过10年的丰富经验，涉及多个行业，包括航空航天、农业、能源、金融科技、政府服务以及医疗保健等。他曾在萨克拉门托州立大学取得英语与哲学双学士学位，他还持有 OSCP、CCISO、CEH、CISA、CISM、CRISC 和 CGEIT 等专业资格认证。

章节目录

版权信息

内容提要

推荐语

译者序

序

关于作者

关于技术审稿人

关于译者

献辞

前言

资源与支持

第一部分 Web API安全的原理

第0章 为安全测试做准备

0.1 获得授权

0.2 API测试的威胁建模

0.3 应该测试哪些API特性

0.4 限制和排除

0.5 报告和修复测试

0.6 关于漏洞赏金范围的说明

0.7 小结

第1章 Web应用程序是如何运行的

1.1 Web应用程序基础

1.2 Web服务器数据库

1.3 API如何融入整体架构

1.4 小结

第2章 Web API的原子论

2.1 Web API的工作原理

2.2 Web API的标准类型

2.3 REST API规范

2.4 API数据交换格式

2.5 API身份验证

2.6 实操API：探索Twitter的API

2.7 小结

第3章 常见的API漏洞

3.1 信息泄露

3.2 对象级授权缺陷

3.3 用户身份验证缺陷

3.4 过度数据暴露

3.5 资源缺乏和速率限制

3.6 功能级授权缺陷

3.7 批量分配

3.8 安全配置错误

3.9 注入

3.10 不当的资产管理

3.11 业务逻辑漏洞

3.12 小结

第二部分 搭建API测试实验室

第4章 API黑客系统

4.1 Kali Linux

4.2 使用DevTools分析Web应用程序

4.3 使用Burp Suite捕获并修改请求

4.4 在Postman中编写API请求

4.5 配置Postman

4.6 补充工具

4.7 小结

实验1：在REST API中枚举用户账户

第5章 设定有API漏洞的目标

5.1 创建一个Linux主机

5.2 安装Docker和Docker Compose

5.3 安装易受攻击的应用程序

5.4 添加其他易受攻击的应用

5.5 在TryHackMe和HackTheBox上测试API

5.6 小结

实验2：查找易受攻击的API

第三部分 攻击API

第6章 侦察

6.1 被动侦察

6.2 主动侦察

6.3 小结

实验3：为黑盒测试执行主动侦察

第7章 端点分析

7.1 寻找请求信息

7.2 在Postman中添加API身份验证要求

7.3 分析功能

7.4 发现信息泄露

7.5 发现安全配置错误

7.6 发现过度数据暴露

7.7 发现业务逻辑漏洞

7.8 小结

实验4：构建crAPI集合并发现过度的数据暴露

第8章 攻击身份验证

8.1 经典身份验证攻击

8.2 伪造令牌

8.3 JSON Web Token滥用

8.4 小结

实验5：破解crAPI JWT签名

第9章 模糊测试

9.1 有效的模糊测试

9.2 广泛模糊测试与深入模糊测试

9.3 使用Wfuzz测试请求方法

9.4 进行深入的模糊测试以绕过输入过滤

9.5 用于目录遍历的模糊测试

9.6 小结

实验6：对不当的资产管理漏洞进行模糊测试

第10章 利用授权漏洞

10.1 发现BOLA

10.2 发现BFLA

10.3 授权漏洞挖掘技巧

10.4 小结

实验7：查找另一个用户的车辆位置

第11章 批量分配

11.1 查找批量分配目标

11.2 查找批量分配变量

11.3 使用Arjun和Burp Suite Intruder自动化批量分配攻击

11.4 结合使用BFLA和批量分配

11.5 小结

实验8：更改在线商店中商品的价格

第12章 注入

12.1 发现注入漏洞

12.2 XSS攻击

12.3 XAS攻击

12.4 SQL注入

12.5 NoSQL注入

12.6 操作系统命令注入

12.7 小结

实验9：使用NoSQL注入伪造优惠券

第四部分 真实世界的API攻击

第13章 应用规避技术和速率限制测试

13.1 规避API安全控制

13.2 测试速率限制

13.3 小结

第14章 攻击GraphQL

14.1 GraphQL请求和集成开发环境

14.2 主动侦察

14.3 逆向工程GraphQL API

14.4 GraphQL API分析

14.5 用于命令注入的模糊测试

14.6 小结

第15章 数据泄露和漏洞赏金

15.1 数据泄露

15.2 漏洞赏金

15.3 小结

附录 API黑客攻击检查清单

后记

API攻防：WebAPI安全指南是2024年由人民邮电出版社出版,作者[美] 科里·鲍尔。

得书感谢您对《API攻防：WebAPI安全指南》关注和支持，如本书内容有不良信息或侵权等情形的，请联系本网站。