API -интерфейсы до взлома Pre -Sale | Проанализируйте оригинальную версию техники атаки уязвимости Web API 23 Кори Дж. Болл Пик импортирован

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.
Описание товара
- Информация о товаре
- Фотографии
Взлом API|Анализ методов атаки на уязвимости веб-API
Подробности
Автор: Кори Дж. Болл
Переводчик: Цзян Хухай
Издательство:
Дата публикации: 10.03.2023
Язык: традиционный китайский
ISBN: 9786263244146
Характеристики: мягкая обложка, 368 страниц, 17 x 23 x 1,71 см, обычный класс, одноцветная печать, первое издание.
краткое введение
Слабые стороны API, о которых должны знать специалисты по безопасности и разработчики
«Это отличный кладезь эксплойтов уязвимостей API». -Крис Робертс, Vciso
Взлом функциональных цепочек, тесно связанных с Интернетом
Эта книга представляет собой ускоренный курс тестирования безопасности веб-API, позволяющий читателям быстро подготовить методы атаки на API, найти недостатки, которые часто упускают другие хакеры, и сделать свои собственные API более безопасными.
Это ориентированный на реализацию учебник, который начинается с рассказа о том, как работают реальные REST API и проблемы безопасности, с которыми они сталкиваются, а затем научит вас, как настроить упрощенную среду тестирования API, а также Burp Suite, Postman и другие инструменты тестирования (такие как Kiterunner и OWASP Amass), которые можно использовать для проведения разведки, анализа конечных точек и нечеткого тестирования.Овладев этими базовыми навыками, вы сможете атаковать механизмы аутентификации API, недостатки логики программ, уязвимости, специфичные для API (такие как XAS и пакетное распределение), а также распространенные уязвимости внедрения в веб-приложениях.
Изучая эту книгу, читатели получат возможность атаковать специально разработанные уязвимости API и изучить следующие методы:
‧Используйте технологию нечеткого тестирования для перечисления пользовательской информации и конечных точек API.
‧Используйте Postman для изучения уязвимостей, связанных с чрезмерным раскрытием данных.
‧Выполнить атаку JSON Web Token на процесс аутентификации API.
‧Объедините несколько методов атаки API для внедрения NoSQL.
‧Атака GraphQL API для обнаружения ненадлежащих уязвимостей авторизации на уровне объекта.
‧Научитесь использовать Postman для обратного проектирования API.
‧Найти недостатки логики программы с помощью функций, предоставляемых API.
В этой книге рассматриваются способы обхода реальных механизмов защиты API, методы взлома GraphQL и ряд реальных уязвимостей, обнаруженных хакерами API в таких сервисах, как Starbucks и Instagram.
Оглавление
последовательность
Спасибо
введение
Основные моменты этой книги
Расположение
Атака API ресторана
Инструкции по стилю перевода
Перевод названия компании или имени человека
Названия продуктов или утилит не переводятся.
Сокращенные термины не переводятся.
Некоторые части переведены не в соответствии с первоначальным смыслом текста.
Китайско-английская сравнительная таблица полных названий сокращений и терминов
Часть I О безопасности WEB API
CH0 Подготовка к тестированию на проникновение
Как работает веб-приложение CH1
Анализ веб-API CH2
Распространенные уязвимости CH3 API
Часть II. Создание экспериментальной среды для тестирования API
CH4 Настройка атакующего компьютера для взлома API
Практическое упражнение 1. Перечисление учетных записей пользователей в REST API
CH5 устанавливает уязвимый дрон API
Практическое упражнение 2. Поиск API для атаки
Часть III API атаки
Разведывательная информация CH6
Практическое упражнение третье: Проведите активную разведку для тестирования «черного ящика».
Анализ конечной точки CH7
Практическое упражнение 4. Создание коллекции crAPI и поиск переэкспонированных данных
CH8 атакует механизм аутентификации
Практическое упражнение пятое: Взлом подписи crAPI JWT
Фазз-тестирование CH9
Практическое упражнение 6. Поиск уязвимостей в неправильном управлении активами с помощью нечеткого тестирования
Механизм авторизации атаки CH10
Практическое упражнение 7. Узнайте местонахождение автомобиля другого пользователя.
Уязвимость пакетного распределения CH11
Практическое упражнение 8. Изменение цен на товары в интернет-магазинах.
Атака инъекцией CH12
Практическое упражнение 9. Использование NoSQL-инъекции для подделки купонов
Часть IV. Реальный инцидент с вторжением в API
CH13 Применение методов обхода и обнаружение ограничения скорости запросов
CH14 Атака GraphQL
CH15 Программа вознаграждения за утечку реальных данных и обнаружение ошибок
Подведем итог
ПРИЛОЖЕНИЕ Контрольный список взлома веб-API
Ссылки на приложение B

