上QQ阅读APP看书,第一时间看更新
攻击API餐厅
在我们开始学习之前,让我用一个比喻来帮助大家理解。想象一下,一个应用程序就像一家餐厅,API 文档就像菜单,告诉你可以点什么样的菜品。作为顾客与厨师之间的联络人,服务员就像API本身。你可以根据菜单向服务员提出请求,服务员把你点的菜品端上来。
至关重要的是,API用户无须了解厨师如何烹饪佳肴,或后台程序如何运作。相反,他们应遵循一套指令来发出请求,并接收相应的响应。随后,开发人员可以根据需求编写应用程序,以满足各种请求。
作为一名API黑客,你需要深入探索餐厅的每个角落,了解餐厅的运营方式。你可能会尝试绕过它的“保镖”,或提供一个被盗用的身份验证令牌。此外,你还需要分析菜单,寻找诱使API向你提供未经授权数据的方法,例如欺骗服务员把所有的菜品都端上来,你甚至可能说服餐厅所有者将整个餐厅的钥匙交给你。
本书引导你探讨以下主题,以全面的方式来攻击API:
● 理解Web应用程序的工作原理以及Web API的结构;
● 从黑客的角度掌握顶级API漏洞;
● 学习最有效的API黑客工具;
● 进行被动和主动的API侦察,以发现API的存在,找到暴露的秘密,并分析API的功能;
● 与API进行交互,并利用模糊测试功能测试它们;
● 通过利用你发现的API漏洞,执行各种攻击。
在本书中,我们将采用对抗性思维来充分利用各类API的功能与特性。我们越能模拟潜在对手,就越能发现可以报告给API提供商的潜在漏洞。我认为,我们甚至可以共同防止下一场大规模的API数据泄露事件。