更新时间:2024-12-11 17:10:12
封面
版权信息
版权
版权声明
内容提要
推荐语
译者序
序
关于作者
关于技术审稿人
关于译者
献辞
前言
攻击Web API的诱惑
本书组织结构
攻击API餐厅
资源与支持
资源获取
提交勘误
与我们联系
关于异步社区和异步图书
第一部分 Web API安全的原理
第0章 为安全测试做准备
0.1 获得授权
0.2 API测试的威胁建模
0.3 应该测试哪些API特性
0.3.1 API认证测试
0.3.2 Web应用程序防火墙
0.3.3 移动应用测试
0.3.4 审计API文档
0.3.5 速率限制测试
0.4 限制和排除
0.4.1 安全测试云API
0.4.2 DoS测试
0.5 报告和修复测试
0.6 关于漏洞赏金范围的说明
0.7 小结
第1章 Web应用程序是如何运行的
1.1 Web应用程序基础
1.1.1 URL
1.1.2 HTTP请求
1.1.3 HTTP响应
1.1.4 HTTP状态码
1.1.5 HTTP请求方法
1.1.6 有状态和无状态的HTTP
1.2 Web服务器数据库
1.2.1 SQL
1.2.2 NoSQL
1.3 API如何融入整体架构
1.4 小结
第2章 Web API的原子论
2.1 Web API的工作原理
2.2 Web API的标准类型
2.2.1 RESTful API
2.2.2 GraphQL
2.3 REST API规范
2.4 API数据交换格式
2.4.1 JSON
2.4.2 XML
2.4.3 YAML
2.5 API身份验证
2.5.1 基本身份验证
2.5.2 API密钥
2.5.3 JSON Web Token
2.5.4 HMAC
2.5.5 OAuth 2.0
2.5.6 无身份验证
2.6 实操API:探索Twitter的API
2.7 小结
第3章 常见的API漏洞
3.1 信息泄露
3.2 对象级授权缺陷
3.3 用户身份验证缺陷
3.4 过度数据暴露
3.5 资源缺乏和速率限制
3.6 功能级授权缺陷
3.7 批量分配
3.8 安全配置错误
3.9 注入
3.10 不当的资产管理
3.11 业务逻辑漏洞
3.12 小结
第二部分 搭建API测试实验室
第4章 API黑客系统
4.1 Kali Linux
4.2 使用DevTools分析Web应用程序
4.3 使用Burp Suite捕获并修改请求
4.3.1 设置FoxyProxy
4.3.2 添加Burp Suite证书
4.3.3 Burp Suite导航
4.3.4 拦截流量
4.3.5 使用Intruder更改请求
4.4 在Postman中编写API请求
4.4.1 请求构建器
4.4.2 环境变量
4.4.3 集合
4.4.4 集合运行器
4.4.5 代码片段
4.4.6 测试面板
4.5 配置Postman
