8 (905) 200-03-37 Владивосток
с 09:00 до 19:00
CHN - 1.14 руб. Сайт - 21.13 руб.

API -интерфейсы до взлома Pre -Sale | Проанализируйте оригинальную версию техники атаки уязвимости Web API 23 Кори Дж. Болл Пик импортирован

Цена: 2 938руб.    (¥139)
Артикул: 705535970924

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.

Этот товар на Таобао Описание товара
Продавец:恒学图书专营店
Адрес:Гуандун
Рейтинг:
Всего отзывов:0
Положительных:0
Добавить в корзину
Другие товары этого продавца
¥1032 177руб.
¥871 839руб.
¥801 691руб.
¥851 797руб.

Взлом API|Анализ методов атаки на уязвимости веб-API

Подробности

Автор: Кори Дж. Болл  

Переводчик: Цзян Хухай

Издательство:  

Дата публикации: 10.03.2023

Язык: традиционный китайский

ISBN: 9786263244146

Характеристики: мягкая обложка, 368 страниц, 17 x 23 x 1,71 см, обычный класс, одноцветная печать, первое издание.


краткое введение

Слабые стороны API, о которых должны знать специалисты по безопасности и разработчики


«Это отличный кладезь эксплойтов уязвимостей API». -Крис Робертс, Vciso


Взлом функциональных цепочек, тесно связанных с Интернетом


Эта книга представляет собой ускоренный курс тестирования безопасности веб-API, позволяющий читателям быстро подготовить методы атаки на API, найти недостатки, которые часто упускают другие хакеры, и сделать свои собственные API более безопасными.


Это ориентированный на реализацию учебник, который начинается с рассказа о том, как работают реальные REST API и проблемы безопасности, с которыми они сталкиваются, а затем научит вас, как настроить упрощенную среду тестирования API, а также Burp Suite, Postman и другие инструменты тестирования (такие как Kiterunner и OWASP Amass), которые можно использовать для проведения разведки, анализа конечных точек и нечеткого тестирования.Овладев этими базовыми навыками, вы сможете атаковать механизмы аутентификации API, недостатки логики программ, уязвимости, специфичные для API (такие как XAS и пакетное распределение), а также распространенные уязвимости внедрения в веб-приложениях.


Изучая эту книгу, читатели получат возможность атаковать специально разработанные уязвимости API и изучить следующие методы:

‧Используйте технологию нечеткого тестирования для перечисления пользовательской информации и конечных точек API.

‧Используйте Postman для изучения уязвимостей, связанных с чрезмерным раскрытием данных.

‧Выполнить атаку JSON Web Token на процесс аутентификации API.

‧Объедините несколько методов атаки API для внедрения NoSQL.

‧Атака GraphQL API для обнаружения ненадлежащих уязвимостей авторизации на уровне объекта.

‧Научитесь использовать Postman для обратного проектирования API.

‧Найти недостатки логики программы с помощью функций, предоставляемых API.


В этой книге рассматриваются способы обхода реальных механизмов защиты API, методы взлома GraphQL и ряд реальных уязвимостей, обнаруженных хакерами API в таких сервисах, как Starbucks и Instagram.

Оглавление

последовательность

Спасибо


введение

Основные моменты этой книги

Расположение

Атака API ресторана

Инструкции по стилю перевода

Перевод названия компании или имени человека

Названия продуктов или утилит не переводятся.

Сокращенные термины не переводятся.

Некоторые части переведены не в соответствии с первоначальным смыслом текста.

Китайско-английская сравнительная таблица полных названий сокращений и терминов


Часть I О безопасности WEB API

CH0 Подготовка к тестированию на проникновение

Как работает веб-приложение CH1

Анализ веб-API CH2

Распространенные уязвимости CH3 API


Часть II. Создание экспериментальной среды для тестирования API

CH4 Настройка атакующего компьютера для взлома API

Практическое упражнение 1. Перечисление учетных записей пользователей в REST API

CH5 устанавливает уязвимый дрон API

Практическое упражнение 2. Поиск API для атаки


Часть III API атаки

Разведывательная информация CH6

Практическое упражнение третье: Проведите активную разведку для тестирования «черного ящика».

Анализ конечной точки CH7

Практическое упражнение 4. Создание коллекции crAPI и поиск переэкспонированных данных

CH8 атакует механизм аутентификации

Практическое упражнение пятое: Взлом подписи crAPI JWT

Фазз-тестирование CH9

Практическое упражнение 6. Поиск уязвимостей в неправильном управлении активами с помощью нечеткого тестирования

Механизм авторизации атаки CH10

Практическое упражнение 7. Узнайте местонахождение автомобиля другого пользователя.

Уязвимость пакетного распределения CH11

Практическое упражнение 8. Изменение цен на товары в интернет-магазинах.

Атака инъекцией CH12

Практическое упражнение 9. Использование NoSQL-инъекции для подделки купонов


Часть IV. Реальный инцидент с вторжением в API

CH13 Применение методов обхода и обнаружение ограничения скорости запросов

CH14 Атака GraphQL

CH15 Программа вознаграждения за утечку реальных данных и обнаружение ошибок


Подведем итог

ПРИЛОЖЕНИЕ Контрольный список взлома веб-API

Ссылки на приложение B