Hacking APIs｜剖析Web API漏洞攻擊技法 (電子書) pdf epub mobi txt 電子書下載 2025

圖書介紹

☆☆☆☆☆
簡體網頁||繁體網頁

作者 Corey J. Ball

出版者碁峰

翻譯者江湖海

出版日期齣版日期：2023/04/30

語言語言：繁體中文

下載鏈接在頁面底部

下載連結1
下載連結2
下載連結3

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製鏈接

想要找書就要到小特書站

ttbooks.qciss.net

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

發表於2025-03-11

類似圖書點擊查看全場最低價

圖書描述

　　資安人員與開發人員必須知道的API弱點

　　「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso

　　破解和網際網路緊密相連的功能鏈

　　本書提供Web API安全測試的速成課程，讓讀者迅速備妥攻擊API的技巧、找齣其他駭客經常錯過的缺陷，並讓自己的API更加安全。

　　這是一本實作導嚮的教材，一開始會先訴告你有關真實世界裡的REST API之工作模式，以及它們所麵臨的安全問題，接著教你如何建置一套簡化的API測試環境，以及Burp Suite、Postman和其他測試工具(如：Kiterunner和OWASP Amass)，這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後，便有能力攻擊API 身分驗證機製、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。

　　研讀本書的過程中，讀者有機會攻擊特意安排的API漏洞，並學到下列技巧：
　　‧使用模糊測試技術枚舉API的使用者資訊和端點
　　‧利用Postman探索資料過度暴露的漏洞
　　‧針對API身分驗證過程執行JSON Web Token攻擊
　　‧結閤多種API攻擊技巧來實現NoSQL注入
　　‧攻擊GraphQL API以找齣不當的物件級授權漏洞
　　‧學習使用Postman對API進行逆嚮工程
　　‧從API提供的功能找齣程式邏輯缺失

　　本書深入探討規避真實世界API防護機製的方法、針對GraphQL的駭侵技法，以及API駭客在星巴剋和Instagram等服務中找到的一係列真實漏洞。

著者信息

作者簡介

Corey J. Ball

　　Corey J. Ball是Moss Adams的網路安全經理，負責領導滲透測試服務，擁有10年以上的IT和網路安全方麵之工作經驗，並通過CISSP、OSCP和CCISO等專業認證。

Hacking APIs｜剖析Web API漏洞攻擊技法 (電子書) pdf epub mobi txt 電子書下載

圖書目錄

序
緻謝

引言
本書亮點
編排方式
攻擊API餐廳
翻譯風格說明
公司名稱或人名的翻譯
產品或工具程式的名稱不做翻譯
縮寫術語不翻譯
部分不按文字原義翻譯
縮寫術語全稱中英對照錶

Part I 關於WEB API的安全性
CH0 為滲透測試做好事前準備
CH1 Web應用程式的運作方式
CH2 Web API剖析
CH3 API常見的漏洞

Part II 建置測試API的實驗環境
CH4 架設駭侵API的攻擊電腦
實作練習一：枚舉REST API裡的使用者帳戶
CH5 架設有漏洞的API靶機
實作練習二：尋找要攻擊的API

Part III 攻擊API
CH6 偵察情資
實作練習三：為黑箱測試執行主動偵察.
CH7 端點分析
實作練習四：組建crAPI集閤及尋找過度暴露的資料
CH8 攻擊身分驗證機製
實作練習五：破解crAPI JWT簽章
CH9 模糊測試
實作練習六：以模糊測試尋找不當資產管理漏洞
CH10 攻擊授權機製
實作練習七：找齣另一位使用者的車輛位置
CH11 批量分配漏洞
實作練習八：竄改網路商店的商品價格.
CH12 注入攻擊
實作練習九：利用NoSQL注入偽造優惠券

Part IV 真實的API入侵事件
CH13 應用規避技巧和檢測請求速率限製
CH14 攻擊GraphQL
CH15 真實資料外洩事件和漏洞賞金計畫

總結
APP A Web API駭侵查核清單
APP B 參考文獻