《 API攻防：Web API安全指南》[51]百度网盘|亲测有效|pdf下载

编辑推荐

1. Amazon热销且长销图书：4.7星好评，位于电子书榜单TOP 7，被读者称为“漏洞猎人和 API 开发人员一定要读的书”。

2. API安全行家之作：作者Corey Ball是API攻防方向的行家，是APIsec大学的创始人，他是API安全领域公认的专家之一。

3. 免费配套课程：本书配套课程“API渗透测试”在APIsec大学中收获众多好评，一年半时间内收获9.3万播放量。

4. API全流程指南：市面上少有的从基础理论到环境搭建，再到测试工具、流程介绍，以及实战应用的全流程API攻防图书，适合网络安全的初学者快速上手。

内容简介

本书旨在打造一本Web API安全的实用指南，全面介绍Web API的攻击方法和防御策略。

本书分为4个部分，共16章。第一部分从API渗透测试的基础理论入手，探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。第二部分带领读者搭建自己的API测试实验室，结合2个实验案例，指导读者找到脆弱的API目标。第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章，帮助读者了解API攻击的过程和方法，结合7个实验案例，帮助读者进行API测试。第四部分介绍3个真实的API攻防案例，旨在针对性地找到提高API安全性的具体策略和方案。

本书可为初学者提供API及其漏洞的全面介绍，也可为安全从业人员提供高级工具和技术见解。

作者简介

科里·鲍尔（Corey Ball）是 Moss Adams 的网络安全咨询经理，也是渗透测试服务部门的负责人。他在信息技术和网络安全领域积累了超过 10 年的丰富经验，涉及多个行业，包括航空航天、农业、能源、金融科技、政府服务以及医疗保健等。他曾在萨克拉门托州立大学取得英语与哲学双学士学位，他还持有 OSCP、CCISO、CEH、CISA、CISM、CRISC 和 CGEIT 等专业资格认证。

目　　录

目　　录

第一部分 Web API安全的原理

第0章　为安全测试做准备　3

0.1　获得授权　3

0.2　API测试的威胁建模　4

0.3　应该测试哪些API特性　6

0.3.1　API认证测试　6

目　　录 第 一部分 Web API安全的原理 第0章　为安全测试做准备　3 0.1　获得授权　3 0.2　API测试的威胁建模　4 0.3　应该测试哪些API特性　6 0.3.1　API认证测试　6 0.3.2　Web应用程序防火墙　7 0.3.3　移动应用测试　7 0.3.4　审计API文档　8 0.3.5　速率限制测试　8 0.4　限制和排除　9 0.4.1　安全测试云API　10 0.4.2　DoS测试　11 0.5　报告和修复测试　11 0.6　关于漏洞赏金范围的说明　12 0.7　小结　13 第 1章　Web应用程序是如何运行的　14 1.1　Web应用程序基础　14 1.1.1　URL　15 1.1.2　HTTP请求　16 1.1.3　HTTP响应　17 1.1.4　HTTP状态码　19 1.1.5　HTTP请求方法　20 1.1.6　有状态和无状态的HTTP　21 1.2　Web服务器数据库　23 1.2.1　SQL　23 1.2.2　NoSQL　25 1.3　API如何融入整体架构　25 1.4　小结　26 第 2章　Web API的原子论　27 2.1　Web API的工作原理　27 2.2　Web API的标准类型　30 2.2.1　RESTful API　30 2.2.2　GraphQL　35 2.3　REST API规范　39 2.4　API数据交换格式　40 2.4.1　JSON　40 2.4.2　XML　43 2.4.3　YAML　44 2.5　API身份验证　45 2.5.1　基本身份验证　46 2.5.2　API密钥　46 2.5.3　JSON Web Token　48 2.5.4　HMAC　49 2.5.5　OAuth 2.0　50 2.5.6　无身份验证　52 2.6　实操API：探索Twitter的API　52 2.7　小结　55 第3章　常见的API漏洞　56 3.1　信息泄露　56 3.2　对象级授权缺陷　57 3.3　用户身份验证缺陷　60 3.4　过度数据暴露　61 3.5　资源缺乏和速率限制　62 3.6　功能级授权缺陷　63 3.7　批量分配　64 3.8　安全配置错误　65 3.9　注入　68 3.10　不当的资产管理　69 3.11　业务逻辑漏洞　70 3.12　小结　72 第二部分 搭建API测试实验室 第4章　API黑客系统　75 4.1　Kali Linux　75 4.2　使用DevTools分析Web应用程序　76 4.3　使用Burp Suite捕获并修改请求　78 4.3.1　设置FoxyProxy　79 4.3.2　添加Burp Suite证书　80 4.3.3　Burp Suite导航　82 4.3.4　拦截流量　83 4.3.5　使用Intruder更改请求　85 4.4　在Postman中编写API请求　89 4.4.1　请求构建器　91 4.4.2　环境变量　93 4.4.3　集合　95 4.4.4　集合运行器　98 4.4.5　代码片段　98 4.4.6　测试面板　99 4.5　配置Postman　100 4.6　补充工具　101 4.6.1　使用OWASP Amass进行侦察　102 4.6.2　使用Kiterunner发现API端点　103 4.6.3　使用nikto扫描漏洞　105 4.6.4　使用OWASP ZAP扫描漏洞　106 4.6.5　使用Wfuzz进行模糊测试　106 4.6.6　使用Arjun发现HTTP参数　108 4.7　小结　109 实验1：在REST API中枚举用户账户　110 第5章　设定有API漏洞的目标　114 5.1　创建一个Linux主机　114 5.2　安装Docker和Docker Compose　115 5.3　安装易受攻击的应用程序　115 5.3.1　completely ridiculous API（crAPI）　116 5.3.2　OWASP DevSlop的Pixi　117 5.3.3　OWASP Juice Shop　118 5.3.4　DVGA　119 5.4　添加其他易受攻击的应用　119 5.5　在TryHackMe和HackTheBox上测试API　120 5.6　小结　121 实验2：查找易受攻击的API　122 第三部分 攻击API 第6章　侦察　129 6.1　被动侦察　129 6.1.1　被动侦察流程　130 6.1.2　Google Hacking　131 6.1.3　ProgrammableWeb的API搜索目录　133 6.1.4　Shodan　135 6.1.5　OWASP Amass　137 6.1.6　GitHub上的信息泄露　139 6.2　主动侦察　142 6.2.1　主动侦察过程　142 6.2.2　使用Nmap进行基线扫描　145 6.2.3　在Robots.txt文件中查找隐藏路径　145 6.2.4　使用Chrome DevTools查找敏感信息　146 6.2.5　使用Burp Suite验证API　149 6.2.6　使用OWASP ZAP爬取URI　150 6.2.7　使用Gobuster对URI进行暴力破解　152 6.2.8　使用Kiterunner发现API内容　154 6.3　小结　156 实验3：为黑盒测试执行主动侦察　157 第7章　端点分析　162 7.1　寻找请求信息　162 7.1.1　在文档中查找信息　163 7.1.2　导入API规范　166 7.1.3　逆向工程API　168 7.2　在Postman中添加API身份验证要求　171 7.3　分析功能　172 7.3.1　测试预期用途　173 7.3.2　执行特权操作　175 7.3.3　分析API响应　176 7.4　发现信息泄露　176 7.5　发现安全配置错误　177 7.5.1　冗长的错误消息　177 7.5.2　不良的传输加密　178 7.5.3　问题配置　178 7.6　发现过度数据暴露　179 7.7　发现业务逻辑漏洞　180 7.8　小结　181 实验4：构建crAPI集合并发现过度的数据暴露　181 第8章　攻击身份验证　186 8.1　经典身份验证攻击　186 8.1.1　暴力破解攻击　187 8.1.2　密码重置和多因素身份验证暴力破解攻击　188 8.1.3　密码喷洒　190 8.1.4　将Base64身份验证包含在暴力破解攻击中　192 8.2　伪造令牌　194 8.2.1　手动加载分析　194 8.2.2　实时令牌捕获分析　196 8.2.3　暴力破解可预测的令牌　197 8.3　JSON Web Token滥用　199 8.3.1　识别和分析JWT　200 8.3.2　无算法攻击　203 8.3.3　算法切换攻击　203 8.3.4　JWT破解攻击　205 8.4　小结　205 实验5：破解crAPI JWT签名　206 第9章　模糊测试　209 9.1　有效的模糊测试　209 9.1.1　选择模糊测试的有效负载　211 9.1.2　检测异常　213 9.2　广泛模糊测试与深入模糊测试　215 9.2.1　使用Postman进行广泛模糊测试　215 9.2.2　使用Burp Suite进行深入模糊测试　218 9.2.3　使用Wfuzz进行深入模糊测试　221 9.2.4　对资产管理不当进行广泛模糊测试　223 9.3　使用Wfuzz测试请求方法　225 9.4　进行深入的模糊测试以绕过输入过滤　226 9.5　用于目录遍历的模糊测试　227 9.6　小结　228 实验6：对不当的资产管理漏洞进行模糊测试　228 第 10章　利用授权漏洞　232 10.1　发现BOLA　232 10.1.1　定位资源ID　233 10.1.2　用于BOLA的A-B测试　234 10.1.3　BOLA侧信道攻击　235 10.2　发现BFLA　236 10.2.1　用于BFLA的A-B-A测试　237 10.2.2　在Postman中测试BFLA　237 10.3　授权漏洞挖掘技巧　240 10.3.1　Postman的集合变量　240 10.3.2　Burp Suite的匹配与替换　240 10.4　小结　241 实验7：查找另一个用户的车辆位置　242 第 11章　批量分配　247 11.1　查找批量分配目标　247 11.1.1　账户注册　247 11.1.2　未经授权访问组织　248 11.2　查找批量分配变量　249 11.2.1　在文档中找到变量　249 11.2.2　对未知变量进行模糊测试　250 11.2.3　盲批量赋值攻击　251 11.3　使用Arjun和Burp Suite Intruder自动化批量分配攻击　252 11.4　结合使用BFLA和批量分配　253 11.5　小结　254 实验8：更改在线商店中商品的价格　255 第 12章　注入　259 12.1　发现注入漏洞　259 12.2　XSS攻击　260 12.3　XAS攻击　262 12.4　SQL注入　264 12.4.1　手动提交元字符　265 12.4.2　SQLmap　266 12.5　NoSQL注入　268 12.6　操作系统命令注入　270 12.7　小结　272 实验9：使用NoSQL注入伪造优惠券　272 第四部分 真实世界的API攻击 第 13章　应用规避技术和速率限制 测试　279 13.1　规避API安全控制　279 13.1.1　安全控制的工作原理　279 13.1.2　API安全控制检测　281 13.1.3　使用一次性账户　282 13.1.4　规避技术　282 13.1.5　使用Burp Suite自动绕过　285 13.1.6　使用Wfuzz自动绕过　286 13.2　测试速率限制　288 13.2.1　关于宽松速率限制的说明　289 13.2.2　路径绕过　291 13.2.3　源标头欺骗　292 13.2.4　在Burp Suite中轮换IP地址　293 13.3　小结　297 第 14章　攻击GraphQL　298 14.1　GraphQL请求和集成开发环境　298 14.2　主动侦察　300 14.2.1　扫描　300 14.2.2　在浏览器中查看DVGA　302 14.2.3　使用DevTools　302 14.3　逆向工程GraphQL API　304 14.3.1　目录暴力破解以获取GraphQL端点　304 14.3.2　Cookie篡改以启用GraphiQL IDE　306 14.3.3　逆向工程GraphQL请求　307 14.3.4　使用内省逆向工程GraphQL集合　309 14.4　GraphQL API分析　311 14.4.1　使用GraphiQL Documentation Explorer编写请求　311 14.4.2　使用InQL Burp扩展　313 14.5　用于命令注入的模糊测试　316 14.6　小结　321 第 15章　数据泄露和漏洞赏金　322 15.1　数据泄露　322 15.1.1　Peloton　323 15.1.2　USPS通知可见性API　324 15.1.3　T-Mobile API泄露　326 15.2　漏洞赏金　328 15.2.1　优质API密钥的价格　328 15.2.2　私有API授权问题　329 15.2.3　星巴克：从未发生的数据泄露　331 15.2.4　Instagram的GraphQL BOLA　334 15.3　小结　336 附录　API黑客攻击检查清单　337 后记　340

显示全部信息

媒体评论

本书从基础概念出发，深入剖析常见 API 漏洞的成因，并提供了实战中的有效防护策略，鼓励读者以积极的态度进行思考。这段高效的学习旅程从工具解析和侦察技巧开始，逐步深入模糊测试和复杂访问控制等各个环节。通过丰富的实验案例介绍、技巧分享和真实案例分析，作者将 API 安全的全部精华凝聚成本书。

——Erez Yalon，Checkmarx 安全研究副总裁，OWASP API 安全项目负责人

本书以一种生动有趣的方式，带领读者深入探索 API 的生命周期，不仅激发了读者对 API 攻防