本书旨在打造一本Web API安全的实用指南,全面介绍Web API的攻击方法和防御策略。
本书分为4个部分,共16章。第一部分从API渗透测试的基础理论入手,探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。第二部分带领读者搭建自己的API测试实验室,结合2个实验案例,指导读者找到脆弱的API目标。第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章,帮助读者了解API攻击的过程和方法,结合7个实验案例,帮助读者进行API测试。第四部分介绍3个真实的API攻防案例,旨在针对性地找到提高API安全性的具体策略和方案。
本书可为初学者提供API及其漏洞的全面介绍,也可为安全从业人员提供高级工具和技术见解。
作者简介:
科里·鲍尔(Corey Ball)是 Moss Adams 的网络安全咨询经理,也是渗透测试服务部门的负责人。他在信息技术和网络安全领域积累了超过 10 年的丰富经验,涉及多个行业,包括航空航天、农业、能源、金融科技、政府服务以及医疗保健等。他曾在萨克拉门托州立大学取得英语与哲学双学士学位,他还持有 OSCP、CCISO、CEH、CISA、CISM、CRISC 和 CGEIT 等专业资格认证。
目录:
第0章 为安全测试做准备 3
第1章 Web应用程序是如何运行的 14
第2章 Web API的原子论 27
第3章 常见的API漏洞 56
第4章 API黑客系统 75
第5章 设定有API漏洞的目标 114
第6章 侦察 129
第7章 端点分析 162
第8章 攻击身份验证 186
第9章 模糊测试 209
第10章 利用授权漏洞 232
第11章 批量分配 247
第12章 注入 259
第13章 应用规避技术和速率限制 测试 279
第14章 攻击GraphQL 298
第15章 数据泄露和漏洞赏金 322
点击下载