Анализ API-интерфейсов точечного взлома и методы атаки на уязвимости веб-API Гонконг и Тайвань Оригинал Кори Дж. Болл Ци Фэн [Китайский бизнес-оригинал]

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.
Описание товара
- Информация о товаре
- Фотографии
«Взлом API |Анализ методов атаки на уязвимости веб-API»
Автор: Кори Дж. Болл
Переводчик: Цзян Хухай
Издательство:
Дата публикации: 10.03.2023
Язык: традиционный китайский
ISBН: 9786263244146
Характеристики: мягкая обложка, 368 страниц, 17 x 23 x 1,71 см, обычный класс, одноцветная печать, первое издание.
Место публикации: ЧжунчжонгГосударственная платформаЗалив
Категория книги: Информация о компьютере>Интернет/стоящая станция>Информационная безопасность/Хакер/Антивирус
(Параметры страницы приведены только для справки, фактический продукт имеет преимущественную силу)


краткое введение
Сотрудники службы безопасности и разработчикидолженСлабые стороны API, о которых вам нужно знать
«Это отличный кладезь эксплойтов уязвимостей API». -Крис Робертс, Vciso
Взлом функциональных цепочек, тесно связанных с Интернетом
Эта книга представляет собой ускоренный курс тестирования безопасности веб-API, позволяющий читателям быстро подготовить методы атаки на API, найти недостатки, которые часто упускают другие хакеры, и сделать свои собственные API более безопасными.
Это учебник, ориентированный на реализацию.Сначала он расскажет вам о режиме работы REST API в реальном мире и проблемах безопасности, с которыми они сталкиваются, а затем научит создавать упрощенную среду тестирования API, а также Burp Suite, Pos.tman и другие инструменты тестирования, такие как Kiterunner и OWASP Amass, которые можно использовать для разведки, анализа конечных точек и нечеткого тестирования.Овладев этими базовыми навыками, вы сможете атаковать механизмы аутентификации API, недостатки логики программ, уязвимости, специфичные для API (такие как XAS и пакетное распределение), а также распространенные уязвимости внедрения в веб-приложениях.
Изучая эту книгу, читатели получат возможность атаковать специально разработанные уязвимости API и изучить следующие методы:
‧Используйте технологию нечеткого тестирования для перечисления пользовательской информации и конечных точек API.
‧Использовать позициюtmanИсследование уязвимостей, связанных с чрезмерным раскрытием данных
‧Выполнить атаку JSON Web Token на процесс аутентификации API.
‧Объедините несколько методов атаки API для внедрения NoSQL.
‧Атака GraphQL API для обнаружения ненадлежащих уязвимостей авторизации на уровне объекта.
‧Научитесь использовать Pos.tmanРеверс-инжиниринг API
‧Найти недостатки логики программы с помощью функций, предоставляемых API.
В этой книге рассматриваются способы обхода реальных механизмов защиты API, методы взлома GraphQL и ряд реальных уязвимостей, обнаруженных хакерами API в таких сервисах, как Starbucks и Instagram.
об авторе
Corey J. Ball
Кори Дж. Болл — менеджер по сетевой безопасности компании Moss Adams, отвечающий за ведущие услуги по тестированию на проникновение. Он имеет более чем 10-летний опыт работы в сфере ИТ и сетевой безопасности и прошел профессиональные сертификаты, такие как CISSP, OSCP и CCISO.
Оглавление
последовательность
Спасибо
введение
Основные моменты этой книги
Расположение
Атака API ресторана
Инструкции по стилю перевода
Перевод названия компании или имени человека
Названия продуктов или утилит не переводятся.
Сокращенные термины не переводятся.
Некоторые части переведены не в соответствии с первоначальным смыслом текста.
Китайско-английская сравнительная таблица полных названий сокращений и терминов
Часть I О безопасности WEB API
CH0 Подготовка к тестированию на проникновение
Как работает веб-приложение CH1
Анализ веб-API CH2
Распространенные уязвимости CH3 API
Часть II. Создание экспериментальной среды для тестирования API
CH4 Настройка атакующего компьютера для взлома API
Практическое упражнение 1. Перечисление учетных записей пользователей в REST API
CH5 устанавливает уязвимый дрон API
Практическое упражнение 2. Поиск API для атаки
Часть III API атаки
Разведывательная информация CH6
Практическое упражнение третье: Проведите активную разведку для тестирования «черного ящика».
Анализ конечной точки CH7
Практическое упражнение 4. Создание коллекции crAPI и поиск переэкспонированных данных
CH8 атакует механизм аутентификации
Практическое упражнение пятое: Взлом подписи crAPI JWT
Фазз-тестирование CH9
Практическое упражнение 6. Поиск уязвимостей в неправильном управлении активами с помощью нечеткого тестирования
Механизм авторизации атаки CH10
Практическое упражнение 7. Узнайте местонахождение автомобиля другого пользователя.
Уязвимость пакетного распределения CH11
Практическое упражнение 8. Изменение цен на товары в интернет-магазинах.
Атака инъекцией CH12
Практическое упражнение 9. Использование NoSQL-инъекции для подделки купонов
Часть IV. Реальный инцидент с вторжением в API
CH13 Применение методов обхода и обнаружение ограничения скорости запросов
CH14 Атака GraphQL
CH15 Программа вознаграждения за утечку реальных данных и обнаружение ошибок
Подведем итог
ПРИЛОЖЕНИЕ Контрольный список взлома веб-API
Ссылки на приложение B





