[No Starch Press] Взлом API. Часть 1

Описание:

В этой книге вы узнаете, как тестировать Web APIs на наличие уязвимостей. Вы познакомитесь с тем, как работают распространенные типы API, такие как REST, SOAP и GraphQL. Далее вы настроите оптимизированную лабораторию для тестирования API и выполните типовые атаки, например, проверку механизмов аутентификации API и проверку на наличие уязвимостей внедрения, которые часто обнаруживаются в веб-приложениях. На примере рассматриваемых в книге лабораторий, которые будут содержать преднамеренно уязвимые API, вы научитесь:

• Перечислять пользователей и конечные точки API посредством техник фаззинга
• Использовать Postman для обнаружения уязвимости данных
• Выполнять атаку на процесс аутентификации API с использованием JSON Web Token
• Комбинировать различные техники атаки на API в целях выполнения NoSQL-инъекций
• Атаковать GraphQL API для обнаружения уязвимостей, связанных с недостатками контроля доступа к объектам

По завершению чтения этой книги вы будете подготовлены к обнаружению уязвимостей API, а также сможете улучшать безопасность веб-приложений

Содержание книги:

Часть 1: Как устроена безопасность Web APIs

Подготовка к тестированию безопасности
Как работают веб-приложения
Анатомия Web APIs
Типовые уязвимости API

Часть 2: Сборка лаборатории для тестирования API

Ваша система для взлома API
Настройка уязвимых целевых API

Часть 3: Атаки на API

Обнаружение
Анализ конечных точек
Атака на аутентификацию
Фаззинг
Эксплуатация авторизации
Массовое присвоение
Внедрение

Часть 4: Взлом API на практике

Применение техник обхода средств защиты и тестирование ограничений скорости
Атаки на GraphQL
Уязвимости данных и программы Bug Bounty