8 (905) 200-03-37 Владивосток
с 09:00 до 19:00
CHN - 1.14 руб. Сайт - 21.13 руб.

Анализ API-интерфейсов точечного взлома и методы атаки на уязвимости веб-API Гонконг и Тайвань Оригинал Кори Дж. Болл Ци Фэн [Китайский бизнес-оригинал]

Цена: 2 811руб.    (¥133)
Артикул: 721680549150

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.

Этот товар на Таобао Описание товара
Продавец:中华商务图书专营店
Рейтинг:
Всего отзывов:0
Положительных:0
Добавить в корзину
Другие товары этого продавца
¥2425 114руб.
¥1914 036руб.
¥47610 025руб.
¥4499 456руб.

«Взлом API |Анализ методов атаки на уязвимости веб-API»

Автор: Кори Дж. Болл  

Переводчик: Цзян Хухай

Издательство:  

Дата публикации: 10.03.2023

Язык: традиционный китайский

ISBН: 9786263244146

Характеристики: мягкая обложка, 368 страниц, 17 x 23 x 1,71 см, обычный класс, одноцветная печать, первое издание.

Место публикации: ЧжунчжонгГосударственная платформаЗалив

Категория книги: Информация о компьютере>Интернет/стоящая станция>Информационная безопасность/Хакер/Антивирус

(Параметры страницы приведены только для справки, фактический продукт имеет преимущественную силу)

 

краткое введение

Сотрудники службы безопасности и разработчикидолженСлабые стороны API, о которых вам нужно знать


«Это отличный кладезь эксплойтов уязвимостей API». -Крис Робертс, Vciso


Взлом функциональных цепочек, тесно связанных с Интернетом


Эта книга представляет собой ускоренный курс тестирования безопасности веб-API, позволяющий читателям быстро подготовить методы атаки на API, найти недостатки, которые часто упускают другие хакеры, и сделать свои собственные API более безопасными.


Это учебник, ориентированный на реализацию.Сначала он расскажет вам о режиме работы REST API в реальном мире и проблемах безопасности, с которыми они сталкиваются, а затем научит создавать упрощенную среду тестирования API, а также Burp Suite, Pos.tman и другие инструменты тестирования, такие как Kiterunner и OWASP Amass, которые можно использовать для разведки, анализа конечных точек и нечеткого тестирования.Овладев этими базовыми навыками, вы сможете атаковать механизмы аутентификации API, недостатки логики программ, уязвимости, специфичные для API (такие как XAS и пакетное распределение), а также распространенные уязвимости внедрения в веб-приложениях.


Изучая эту книгу, читатели получат возможность атаковать специально разработанные уязвимости API и изучить следующие методы:

‧Используйте технологию нечеткого тестирования для перечисления пользовательской информации и конечных точек API.

‧Использовать позициюtmanИсследование уязвимостей, связанных с чрезмерным раскрытием данных

‧Выполнить атаку JSON Web Token на процесс аутентификации API.

‧Объедините несколько методов атаки API для внедрения NoSQL.

‧Атака GraphQL API для обнаружения ненадлежащих уязвимостей авторизации на уровне объекта.

‧Научитесь использовать Pos.tmanРеверс-инжиниринг API

‧Найти недостатки логики программы с помощью функций, предоставляемых API.


В этой книге рассматриваются способы обхода реальных механизмов защиты API, методы взлома GraphQL и ряд реальных уязвимостей, обнаруженных хакерами API в таких сервисах, как Starbucks и Instagram.

 

об авторе

Corey J. Ball

Кори Дж. Болл — менеджер по сетевой безопасности компании Moss Adams, отвечающий за ведущие услуги по тестированию на проникновение. Он имеет более чем 10-летний опыт работы в сфере ИТ и сетевой безопасности и прошел профессиональные сертификаты, такие как CISSP, OSCP и CCISO.

 

Оглавление

последовательность

Спасибо


введение

Основные моменты этой книги

Расположение

Атака API ресторана

Инструкции по стилю перевода

Перевод названия компании или имени человека

Названия продуктов или утилит не переводятся.

Сокращенные термины не переводятся.

Некоторые части переведены не в соответствии с первоначальным смыслом текста.

Китайско-английская сравнительная таблица полных названий сокращений и терминов


Часть I О безопасности WEB API

CH0 Подготовка к тестированию на проникновение

Как работает веб-приложение CH1

Анализ веб-API CH2

Распространенные уязвимости CH3 API


Часть II. Создание экспериментальной среды для тестирования API

CH4 Настройка атакующего компьютера для взлома API

Практическое упражнение 1. Перечисление учетных записей пользователей в REST API

CH5 устанавливает уязвимый дрон API

Практическое упражнение 2. Поиск API для атаки


Часть III API атаки

Разведывательная информация CH6

Практическое упражнение третье: Проведите активную разведку для тестирования «черного ящика».

Анализ конечной точки CH7

Практическое упражнение 4. Создание коллекции crAPI и поиск переэкспонированных данных

CH8 атакует механизм аутентификации

Практическое упражнение пятое: Взлом подписи crAPI JWT

Фазз-тестирование CH9

Практическое упражнение 6. Поиск уязвимостей в неправильном управлении активами с помощью нечеткого тестирования

Механизм авторизации атаки CH10

Практическое упражнение 7. Узнайте местонахождение автомобиля другого пользователя.

Уязвимость пакетного распределения CH11

Практическое упражнение 8. Изменение цен на товары в интернет-магазинах.

Атака инъекцией CH12

Практическое упражнение 9. Использование NoSQL-инъекции для подделки купонов


Часть IV. Реальный инцидент с вторжением в API

CH13 Применение методов обхода и обнаружение ограничения скорости запросов

CH14 Атака GraphQL

CH15 Программа вознаграждения за утечку реальных данных и обнаружение ошибок


Подведем итог

ПРИЛОЖЕНИЕ Контрольный список взлома веб-API

Ссылки на приложение B