API攻防:Web API安全指南
上QQ阅读APP看书,第一时间看更新

本书组织结构

攻击API并不像你想象的那样充满挑战性。一旦了解了它们的运作原理,黑客只需要发送正确的HTTP请求,就可以发起API攻击。然而,通常用于漏洞挖掘和Web应用程序渗透测试的工具和技术并不适用于API测试。例如,你不能只是对一个API进行通用漏洞扫描,就期待能得到有用的结果。我经常对易受攻击的API进行扫描,结果却为虚假阴性。当API未得到充分测试时,组织会产生虚假安全感,从而面临入侵风险。

本书各部分均以前一部分为基础。

第一部分:Web API安全的原理

第一部分包含第0章~第3章。在该部分中,先介绍安全测试的预备知识,再介绍Web应用程序及驱动它们的Web API的基本知识,包括本书主题之一的REST API和越来越受欢迎的GraphQL,还将探讨常见的API漏洞。

第二部分:搭建API测试实验室

第二部分包含第4章和第5章。在该部分中,主要介绍如何搭建自己的API测试实验室,还介绍了相关工具,如Burp Suite、Postman等,还将建立一个易受攻击的API目标实验室,帮助你进行攻击实践。

第三部分:攻击API

第三部分包含第6章~第12章。在该部分中,探讨主要介绍攻击API的方法论,指导你执行针对 API 的常见攻击。你将学习通过开源情报技术发现API,分析它们以了解它们的攻击面,深入了解针对API的攻击方法。你还将学会逆向工程API、绕过身份验证,并对安全问题进行模糊测试。

第四部分:真实世界的API攻击

第四部分包含第13章~第15章。在该部分中,主要介绍API漏洞如何在数据泄露和漏洞赏金中被利用。你将了解如何运用应用规避技术,并进行速率限制测试。你还将了解针对GraphQL的攻击示例,将所学技术应用于GraphQL格式。

实验部分

本书第二部分和第三部分的每一章均包含实验部分,供你实践本书技术。你可使用除本书介绍的工具之外的其他工具完成实验。

本书适合对Web应用程序攻击感兴趣的人,以及希望增加一项技能的渗透测试人员和漏洞赏金猎人阅读。本书的设计旨在方便初学者在第一部分学习Web API的基本知识,在第二部分搭建黑客实验室,在第三部分开始攻击。