互联网 类型
可以朗读 语音朗读
211千字 字数
2024-11-01 发行日期
展开全部

主编推荐语

全面介绍Web API的攻击方法和防御策略。

内容简介

本书分为4个部分,共16章。

第一部分从API渗透测试的基础理论入手,探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。

第二部分带领读者搭建自己的API测试实验室,结合2个实验案例,指导读者找到脆弱的API目标。

第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章,帮助读者了解API攻击的过程和方法,结合7个实验案例,帮助读者进行API测试。

第四部分介绍3个真实的API攻防案例,旨在针对性地找到提高API安全性的具体策略和方案。

目录

  • 版权信息
  • 内容提要
  • 推荐语
  • 译者序
  • 关于作者
  • 关于技术审稿人
  • 关于译者
  • 献辞
  • 前言
  • 资源与支持
  • 第一部分 Web API安全的原理
  • 第0章 为安全测试做准备
  • 0.1 获得授权
  • 0.2 API测试的威胁建模
  • 0.3 应该测试哪些API特性
  • 0.4 限制和排除
  • 0.5 报告和修复测试
  • 0.6 关于漏洞赏金范围的说明
  • 0.7 小结
  • 第1章 Web应用程序是如何运行的
  • 1.1 Web应用程序基础
  • 1.2 Web服务器数据库
  • 1.3 API如何融入整体架构
  • 1.4 小结
  • 第2章 Web API的原子论
  • 2.1 Web API的工作原理
  • 2.2 Web API的标准类型
  • 2.3 REST API规范
  • 2.4 API数据交换格式
  • 2.5 API身份验证
  • 2.6 实操API:探索Twitter的API
  • 2.7 小结
  • 第3章 常见的API漏洞
  • 3.1 信息泄露
  • 3.2 对象级授权缺陷
  • 3.3 用户身份验证缺陷
  • 3.4 过度数据暴露
  • 3.5 资源缺乏和速率限制
  • 3.6 功能级授权缺陷
  • 3.7 批量分配
  • 3.8 安全配置错误
  • 3.9 注入
  • 3.10 不当的资产管理
  • 3.11 业务逻辑漏洞
  • 3.12 小结
  • 第二部分 搭建API测试实验室
  • 第4章 API黑客系统
  • 4.1 Kali Linux
  • 4.2 使用DevTools分析Web应用程序
  • 4.3 使用Burp Suite捕获并修改请求
  • 4.4 在Postman中编写API请求
  • 4.5 配置Postman
  • 4.6 补充工具
  • 4.7 小结
  • 实验1:在REST API中枚举用户账户
  • 第5章 设定有API漏洞的目标
  • 5.1 创建一个Linux主机
  • 5.2 安装Docker和Docker Compose
  • 5.3 安装易受攻击的应用程序
  • 5.4 添加其他易受攻击的应用
  • 5.5 在TryHackMe和HackTheBox上测试API
  • 5.6 小结
  • 实验2:查找易受攻击的API
  • 第三部分 攻击API
  • 第6章 侦察
  • 6.1 被动侦察
  • 6.2 主动侦察
  • 6.3 小结
  • 实验3:为黑盒测试执行主动侦察
  • 第7章 端点分析
  • 7.1 寻找请求信息
  • 7.2 在Postman中添加API身份验证要求
  • 7.3 分析功能
  • 7.4 发现信息泄露
  • 7.5 发现安全配置错误
  • 7.6 发现过度数据暴露
  • 7.7 发现业务逻辑漏洞
  • 7.8 小结
  • 实验4:构建crAPI集合并发现过度的数据暴露
  • 第8章 攻击身份验证
  • 8.1 经典身份验证攻击
  • 8.2 伪造令牌
  • 8.3 JSON Web Token滥用
  • 8.4 小结
  • 实验5:破解crAPI JWT签名
  • 第9章 模糊测试
  • 9.1 有效的模糊测试
  • 9.2 广泛模糊测试与深入模糊测试
  • 9.3 使用Wfuzz测试请求方法
  • 9.4 进行深入的模糊测试以绕过输入过滤
  • 9.5 用于目录遍历的模糊测试
  • 9.6 小结
  • 实验6:对不当的资产管理漏洞进行模糊测试
  • 第10章 利用授权漏洞
  • 10.1 发现BOLA
  • 10.2 发现BFLA
  • 10.3 授权漏洞挖掘技巧
  • 10.4 小结
  • 实验7:查找另一个用户的车辆位置
  • 第11章 批量分配
  • 11.1 查找批量分配目标
  • 11.2 查找批量分配变量
  • 11.3 使用Arjun和Burp Suite Intruder自动化批量分配攻击
  • 11.4 结合使用BFLA和批量分配
  • 11.5 小结
  • 实验8:更改在线商店中商品的价格
  • 第12章 注入
  • 12.1 发现注入漏洞
  • 12.2 XSS攻击
  • 12.3 XAS攻击
  • 12.4 SQL注入
  • 12.5 NoSQL注入
  • 12.6 操作系统命令注入
  • 12.7 小结
  • 实验9:使用NoSQL注入伪造优惠券
  • 第四部分 真实世界的API攻击
  • 第13章 应用规避技术和速率限制测试
  • 13.1 规避API安全控制
  • 13.2 测试速率限制
  • 13.3 小结
  • 第14章 攻击GraphQL
  • 14.1 GraphQL请求和集成开发环境
  • 14.2 主动侦察
  • 14.3 逆向工程GraphQL API
  • 14.4 GraphQL API分析
  • 14.5 用于命令注入的模糊测试
  • 14.6 小结
  • 第15章 数据泄露和漏洞赏金
  • 15.1 数据泄露
  • 15.2 漏洞赏金
  • 15.3 小结
  • 附录 API黑客攻击检查清单
  • 后记
展开全部

评分及书评

评分不足
1个评分

出版方

人民邮电出版社

人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。