Hacking APIs|剖析 Web API 漏洞攻擊技法
Corey J. Ball
- 出版商: 碁峰資訊
- 出版日期: 2023-03-10
- 定價: $580
- 售價: 7.9 折 $458
- 語言: 繁體中文
- ISBN: 6263244143
- ISBN-13: 9786263244146
-
相關分類:
資訊安全、駭客 Hack
- 此書翻譯自: Hacking APIs: Breaking Web Application Programming Interfaces (Paperback)
立即出貨 (庫存 > 10)
買這商品的人也買了...
-
無瑕的程式碼-敏捷軟體開發技巧守則 + 番外篇-專業程式設計師的生存之道 (雙書合購)$940$700 -
無瑕的程式碼-敏捷完整篇-物件導向原則、設計模式與 C# 實踐 (Agile principles, patterns, and practices in C#)$790$616 -
Regular Expression -- 橫刃萬解程式的關鍵語言 -- 正規表示法, 2/e$620$558 -
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$468 -
The Hacker Playbook 3 中文版:滲透測試實戰 (紅隊版)$650$507 -
ASP.NET Core 工程師不可不知的 10大安全性漏洞與防駭方法$690$538 -
Clean Architecture 無瑕的程式碼-整潔的軟體設計與架構篇 + 實作篇-在整潔的架構上弄髒你的手 (雙書合購)$1,080$820 -
Web API 設計原則|API 與微服務傳遞價值之道 (Principles of Web API Design: Delivering Value with APIs and Microservices)$520$411 -
實戰 Linux 系統數位鑑識 (Practical Linux Forensics: A Guide for Digital Investigators)$620$490 -
Web Hacking 現場指南:真實世界抓漏和獵蟲的賞金之旅 (Real-World Bug Hunting: A Field Guide to Web Hacking)$550$429 -
Google 的軟體工程之道|從程式設計經驗中吸取教訓 (Software Engineering at Google)$880$695 -
OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全$600$468 -
領域驅動設計學習手冊 (Learning Domain-Driven Design)$580$458 -
駭客就在你旁邊:內網安全攻防滲透你死我活, 2/e$880$695 -
ChatGPT 與 AI繪圖效率大師:從日常到職場的全方位應用總整理,48小時迎接減壓新生活!$620$484 -
瘋 ChatGPT:顛覆未來,OpenAI 翻轉人工智慧新紀元$390$304 -
Ubuntu22 系統管理與網路服務實務應用:晉升專業網管工程師×物聯網工程師實戰攻略$660$515 -
邁向 Linux 工程師之路:Superuser 一定要懂的技術與運用, 3/e (How Linux Works : What Every Superuser Should Know, 3/e)$780$608 -
資料科學基礎數學 (Essential Math for Data Science)$680$537 -
親密的駭人 – 堅固網路安全建設從內網開始$880$695 -
演算法邏輯力:工程師必備的演算法解題、設計、加速技巧 (Algorithmic Thinking: A Problem-Based Introduction)$720$562 -
最強 AI 投資分析:打造自己的股市顧問機器人,股票趨勢分析×年報解讀×選股推薦×風險管理$750$593 -
前端開發資安入門|你不能忽視的漏洞對策必備知識$520$410 -
26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架(iThome鐵人賽系列書)$650$507 -
CI/CD 安全防護大揭密:DevSecOps 最佳實踐指南$680$530
商品描述
資安人員與開發人員必須知道的API弱點
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失
本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
作者簡介
Corey J. Ball 是Moss Adams的網路安全經理,負責領導滲透測試服務,擁有10年以上的IT和網路安全方面之工作經驗,並通過CISSP、OSCP和CCISO等專業認證。
目錄大綱
序
致謝
引言
本書亮點
編排方式
攻擊API餐廳
翻譯風格說明
公司名稱或人名的翻譯
產品或工具程式的名稱不做翻譯
縮寫術語不翻譯
部分不按文字原義翻譯
縮寫術語全稱中英對照表
Part I 關於WEB API的安全性
CH0 為滲透測試做好事前準備
CH1 Web應用程式的運作方式
CH2 Web API剖析
CH3 API常見的漏洞
Part II 建置測試API的實驗環境
CH4 架設駭侵API的攻擊電腦
實作練習一:枚舉REST API裡的使用者帳戶
CH5 架設有漏洞的API靶機
實作練習二:尋找要攻擊的API
Part III 攻擊API
CH6 偵察情資
實作練習三:為黑箱測試執行主動偵察.
CH7 端點分析
實作練習四:組建crAPI集合及尋找過度暴露的資料
CH8 攻擊身分驗證機制
實作練習五:破解crAPI JWT簽章
CH9 模糊測試
實作練習六:以模糊測試尋找不當資產管理漏洞
CH10 攻擊授權機制
實作練習七:找出另一位使用者的車輛位置
CH11 批量分配漏洞
實作練習八:竄改網路商店的商品價格.
CH12 注入攻擊
實作練習九:利用NoSQL注入偽造優惠券
Part IV 真實的API入侵事件
CH13 應用規避技巧和檢測請求速率限制
CH14 攻擊GraphQL
CH15 真實資料外洩事件和漏洞賞金計畫
總結
APP A Web API駭侵查核清單
APP B 參考文獻
