0人評分過此書
內容簡介:資安人員與開發人員必須知道的API弱點
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失
本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失
本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
- 序
- 致謝
-
引言
-
本書亮點
-
編排方式
-
攻擊API 餐廳
-
翻譯風格說明
-
公司名稱或人名的翻譯
-
產品或工具程式的名稱不做翻譯
-
縮寫術語不翻譯
-
部分不按文字原義翻譯
-
縮寫術語全稱中英對照表
-
-
Part I 關於WEB API 的安全性
-
Chapter 0 為滲透測試做好事前準備
-
取得授權
-
為API 測試進行威脅塑模
-
該測試哪些API 功能
-
限制和排除條款
-
測試報告及複測服務
-
關於漏洞賞金
-
小結
-
-
Chapter 1 Web 應用程式的運作方式
-
Web App 概述
-
Web 伺服器所用的資料庫
-
API 搭配Web APP
-
小結
-
-
Chapter 2 Web API 剖析
-
Web API 的作業方式
-
Web API 的標準類型
-
REST API 規範
-
API 的資料交換格式
-
API 的身分驗證
-
API 實戰:探索Twitter API
-
小結
-
-
Chapter 3 API 常見的漏洞
-
資訊洩露
-
不當的物件授權
-
不當的使用者身分驗證機制
-
資料過度暴露
-
缺乏資源和速率限制
-
不當的功能授權
-
批量分配
-
不當的安全組態
-
注入漏洞
-
資產管理不當
-
程式邏輯缺失
-
小結
-
-
-
Part II 建置測試API 的實驗環境
-
Chapter 4 架設駭侵API 的攻擊電腦
-
Kali Linux
-
使用DevTools 分析Web App
-
使用Burp Suite 攔截和竄改請求內容
-
利用Postman 編製API 請求
-
讓Postman 搭配Burp Suite 作業
-
補充工具
-
小結
-
實作練習一:枚舉REST API 裡的使用者帳戶
-
-
Chapter 5 架設有漏洞的API 靶機
-
建立Linux 主機
-
安裝Docker 和Docker Compose
-
安裝有漏洞的應用系統
-
其他有漏洞的應用系統
-
破解TryHackMe 和HackTheBox 上的API 漏洞
-
小結
-
實作練習二:尋找要攻擊的API
-
-
-
Part III 攻擊API
-
Chapter 6 偵察情資
-
被動式偵察
-
主動偵察
-
小結
-
實作練習三:為黑箱測試執行主動偵察
-
-
Chapter 7 端點分析
-
查找請求資訊
-
在Postman 加入API 身分驗證的需求
-
分析API 的功能
-
尋找資訊洩露
-
尋找不當的安全組態
-
尋找過度揭露的資料
-
尋找程式邏輯的缺失
-
小結
-
實作練習四:組建crAPI 集合及尋找過度暴露的資料
-
-
Chapter 8 攻擊身分驗證機制
-
典型的身分驗證攻擊
-
編製身分符記
-
濫用JWT
-
小結
-
實作練習五:破解crAPI JWT 簽章
-
-
Chapter 9 模糊測試
-
有效的模糊測試
-
模糊測試的廣度與深度
-
使用Wfuzz 測試請求方法
-
以更深度的模糊來繞過輸入資料清理
-
以模糊測試進行目錄遍歷
-
小結
-
實作練習六:以模糊測試尋找不當資產管理漏洞
-
-
Chapter 10 攻擊授權機制
-
尋找不當的物件授權漏洞
-
尋找不當的功能層級授權漏洞
-
授權漏洞的攻擊技巧
-
小結
-
實作練習七:找出另一位使用者的車輛位置
-
-
Chapter 11 批量分配漏洞
-
尋找批量分配的攻擊目標
-
尋找批量分配變數
-
利用Arjun 和Burp 的Intruder 自動執行批量分配攻擊
-
結合BFLA 和批量分配漏洞
-
小結
-
實作練習八:竄改網路商店的商品價格
-
-
Chapter 12 注入攻擊
-
尋找注入漏洞
-
跨站腳本(XSS)
-
跨API 腳本(XAS)
-
SQL 注入
-
NoSQL 注入
-
作業系統命令注入
-
小結
-
實作練習九:利用NoSQL 注入偽造優惠券
-
-
-
Part IV 真實的API 入侵事件
-
Chapter 13 應用規避技巧和檢測請求速率限制
-
規避API 安全管控機制
-
在限速機制下執行測試
-
-
Chapter 14 攻擊GraphQL
-
GraphQL 的請求和整合型開發環境
-
主動偵察
-
對GraphQL API 進行逆向工程
-
分析GraphQL API
-
命令注入的模糊測試
-
小結
-
-
Chapter 15 真實資料外洩事件和漏洞賞金計畫
-
資料外洩
-
漏洞賞金計畫
-
小結
-
-
- 總結
- Appendix A Web API 駭侵查核清單
- Appendix B 參考文獻
- 出版地 : 臺灣
- 語言 : 繁體中文
評分與評論
請登入後再留言與評分
EPUB
PDF
PDF
PDF
PDF
