滿額折
Hacking APIs:剖析Web API漏洞攻擊技法
商品資訊
定價
:NT$ 580 元優惠價
:90 折 522 元
領券後再享88折起
領
團購優惠券B
8本以上且滿1500元
再享89折,單本省下57元
再享89折,單本省下57元
領
無庫存,下單後進貨(採購期約4~10個工作天)
可得紅利積點:15 點
相關商品
商品簡介
作者簡介
目次
商品簡介
內容簡介:資安人員與開發人員必須知道的API弱點「這是一本關於API漏洞攻擊的重要礦脈。」-Chris Roberts, Vciso破解和網際網路緊密相連的功能鏈本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:‧使用模糊測試技術枚舉API的使用者資訊和端點‧利用Postman探索資料過度暴露的漏洞‧針對API身分驗證過程執行JSON Web Token攻擊‧結合多種API攻擊技巧來實現NoSQL注入‧攻擊GraphQL API以找出不當的物件級授權漏洞‧學習使用Postman對API進行逆向工程‧從API提供的功能找出程式邏輯缺失本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。
作者簡介
Corey J. Ball 是Moss Adams的網路安全經理,負責領導滲透測試服務,擁有10年以上的IT和網路安全方面之工作經驗,並通過CISSP、OSCP和CCISO等專業認證。
目次
章節說明:序 致謝 引言 本書亮點編排方式攻擊API餐廳翻譯風格說明公司名稱或人名的翻譯產品或工具程式的名稱不做翻譯 縮寫術語不翻譯 部分不按文字原義翻譯縮寫術語全稱中英對照表Part I 關於WEB API的安全性CH0 為滲透測試做好事前準備CH1 Web應用程式的運作方式CH2 Web API剖析CH3 API常見的漏洞Part II 建置測試API的實驗環境 CH4 架設駭侵API的攻擊電腦 實作練習一:枚舉REST API裡的使用者帳戶CH5 架設有漏洞的API靶機 實作練習二:尋找要攻擊的APIPart III 攻擊APICH6 偵察情資 實作練習三:為黑箱測試執行主動偵察.CH7 端點分析 實作練習四:組建crAPI集合及尋找過度暴露的資料CH8 攻擊身分驗證機制 實作練習五:破解crAPI JWT簽章CH9 模糊測試 實作練習六:以模糊測試尋找不當資產管理漏洞CH10 攻擊授權機制 實作練習七:找出另一位使用者的車輛位置CH11 批量分配漏洞 實作練習八:竄改網路商店的商品價格.CH12 注入攻擊 實作練習九:利用NoSQL注入偽造優惠券Part IV 真實的API入侵事件CH13 應用規避技巧和檢測請求速率限制CH14 攻擊GraphQLCH15 真實資料外洩事件和漏洞賞金計畫總結 APP A Web API駭侵查核清單 APP B 參考文獻
您曾經瀏覽過的商品
購物須知
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。