作者:科里·鲍尔(Corey Ball) 著
页数:339
出版社:人民邮电出版社
出版日期:2024
ISBN:9787115652751
电子书格式:pdf/epub/txt
网盘下载地址:下载API攻防:WEB API安全指南
内容简介
本书旨在打造一本Web API安全的实用指南,全面介绍Web API的攻击方法和防御策略。
本书分为4个部分,共16章。第一部分从API渗透测试的基础理论入手,探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。第二部分带领读者搭建自己的API测试实验室,结合2个实验案例,指导读者找到脆弱的API目标。第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章,帮助读者了解API攻击的过程和方法,结合7个实验案例,帮助读者进行API测试。第四部分介绍3个真实的API攻防案例,旨在针对性地找到提高API安全性的具体策略和方案。
本书可为初学者提供API及其漏洞的全面介绍,也可为安全从业人员提供高级工具和技术见解。
作者简介
科里·鲍尔(Corey Ball),是 Moss Adams 的网络安全咨询经理,也是渗透测试服务部门的负责人。他在信息技术和网络安全领域积累了超过 10 年的丰富经验,涉及多个行业,包括航空航天、农业、能源、金融科技、政府服务以及医疗保健等。他曾在萨克拉门托州立大学取得英语与哲学双学士学位,他还持有 OSCP、CCISO、CEH、CISA、CISM、CRISC 和 CGEIT 等专业资格认证。
本书特色
1. Amazon热销且长销图书:4.7星好评,位于电子书榜单TOP 7,被读者称为“漏洞猎人和 API 开发人员一定要读的书”。
2. API安全行家之作:作者Corey Ball是API攻防方向的行家,是APIsec大学的创始人,他是API安全领域公认的专家之一。
3. 免费配套课程:本书配套课程“API渗透测试”在APIsec大学中收获众多好评,一年半时间内收获9.3万播放量。
4. API全流程指南:市面上少有的从基础理论到环境搭建,再到测试工具、流程介绍,以及实战应用的全流程API攻防图书,适合网络安全的初学者快速上手。
目录
第 一部分 Web API安全的原理
第0章 为安全测试做准备 3
0.1 获得授权 3
0.2 API测试的威胁建模 4
0.3 应该测试哪些API特性 6
0.3.1 API认证测试 6
0.3.2 Web应用程序防火墙 7
0.3.3 移动应用测试 7
0.3.4 审计API文档 8
0.3.5 速率限制测试 8
0.4 限制和排除 9
0.4.1 安全测试云API 10
0.4.2 DoS测试 11
0.5 报告和修复测试 11
0.6 关于漏洞赏金范围的说明 12
0.7 小结 13
第 1章 Web应用程序是如何运行的 14
1.1 Web应用程序基础 14
1.1.1 URL 15
1.1.2 HTTP请求 16
1.1.3 HTTP响应 17
1.1.4 HTTP状态码 19
1.1.5 HTTP请求方法 20
1.1.6 有状态和无状态的HTTP 21
1.2 Web服务器数据库 23
1.2.1 SQL 23
1.2.2 NoSQL 25
1.3 API如何融入整体架构 25
1.4 小结 26
第 2章 Web API的原子论 27
2.1 Web API的工作原理 27
2.2 Web API的标准类型 30
2.2.1 RESTful API 30
2.2.2 GraphQL 35
2.3 REST API规范 39
2.4 API数据交换格式 40
2.4.1 JSON 40
2.4.2 XML 43
2.4.3 YAML 44
2.5 API身份验证 45
2.5.1 基本身份验证 46
2.5.2 API密钥 46
2.5.3 JSON Web Token 48
2.5.4 HMAC 49
2.5.5 OAuth 2.0 50
2.5.6 无身份验证 52
2.6 实操API:探索Twitter的API 52
2.7 小结 55
第3章 常见的API漏洞 56
3.1 信息泄露 56
3.2 对象级授权缺陷 57
3.3 用户身份验证缺陷 60
3.4 过度数据暴露 61
3.5 资源缺乏和速率限制 62
3.6 功能级授权缺陷 63
3.7 批量分配 64
3.8 安全配置错误 65
3.9 注入 68
3.10 不当的资产管理 69
3.11 业务逻辑漏洞 70
3.12 小结 72
第二部分 搭建API测试实验室
