- 依內容分級制度,未登入僅能顯示普遍級內容,登入後即可觀看全站內容。
- 馬上登入
關注
關注作者、出版社、系列,新刊上架可獲得通知!
放大
.concat(' ')
.concat(encodeURIComponent(location.href)) .concat('(')
.concat(encodeURIComponent(document.title)) .concat(')'),'_blank','toolbar=yes,scrollbars=yes,resizable=yes,top=180,left=450,width=850,height=650'));)
內容簡介
Hacking APIs|剖析Web API漏洞攻擊技法
資安人員與開發人員必須知道的API弱點
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postma
「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso
破解和網際網路緊密相連的功能鏈
本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。
這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。
研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧:
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postma
作者簡介
Corey J. Ball
Corey J. Ball
相關推薦書刊
買此商品的人也買了...
購買前的注意事項
- 本書城的商品為電子書及電子雜誌,並非紙本書。讀者可透過電腦裝置網頁瀏覽,或使用 iPhone、iPad、Android 手機或平板電腦下載閱讀。
- 如有下載閱讀需求,為避免裝置版本無法適用,建議於購書前,先確認您的裝置可下載BOOK☆WALKER的APP,並可先下載免費電子書,確認可順利使用後再行購書。
- 由於數位智慧財產權之特性,所販售之電子書刊經購買後,除內容有瑕疵或錯誤者外,不得要求退貨及退款。如有特殊情形,請洽敝公司客服人員,我們將盡速為您處理。
