Hacking APIs: Spargerea interfețelor de programare a aplicațiilor web

Recenzii ale cititorilor

Cartea „Hacking APIs” de Corey Ball este un ghid cuprinzător axat pe testarea securității API-urilor web, potrivit atât pentru începători, cât și pentru profesioniștii cu experiență în domeniul securității cibernetice. Acesta oferă informații detaliate despre fundamentele API, practicile de securitate, descoperirea vulnerabilităților și instrumentele relevante. Cartea include laboratoare practice pentru învățarea practică, deși unii utilizatori au considerat că secțiunile introductive sunt de bază. Deși este foarte recomandată pentru calitatea sa instructivă, unii utilizatori sugerează că este posibil să nu îndeplinească așteptările dezvoltatorilor experimentați.

⬤ Ghid cuprinzător privind securitatea API
⬤ bine structurat și ușor de urmărit
⬤ include laboratoare practice pentru experiență practică
⬤ potrivit atât pentru începători, cât și pentru avansați
⬤ scriere de înaltă calitate cu explicații clare
⬤ accent puternic pe tendințele moderne de securitate cibernetică.

⬤ Secțiunile introductive pot fi prea elementare pentru dezvoltatorii experimentați
⬤ versiunea pe hârtie poate fi incomodă din cauza URL-urilor extinse
⬤ unii utilizatori au considerat-o lipsită de conținut acționabil
⬤ necesită cunoștințe anterioare pentru o înțelegere completă.

(pe baza a 23 recenzii ale cititorilor)

Titlul original:

Hacking APIs: Breaking Web Application Programming Interfaces

Conținutul cărții:

Hacking APIs este un curs intensiv de testare a securității API-urilor web care vă va pregăti să testați API-urile prin penetrare, să obțineți recompense mari în cadrul programelor de recompensare a bug-urilor și să vă faceți propriile API-uri mai sigure.

Hacking APIs este un curs intensiv de testare a securității API-urilor web care vă va pregăti să testați API-urile prin penetrare, să obțineți recompense mari din programele de recompensare a bug-urilor și să vă faceți propriile API-uri mai sigure.

Veți învăța cum funcționează API-urile REST și GraphQL în mediul natural și veți configura un laborator simplificat de testare API cu Burp Suite și Postman. Apoi, veți stăpâni instrumente utile pentru recunoaștere, analiza punctelor finale și fuzzing, precum Kiterunner și OWASP Amass. În continuare, veți învăța să efectuați atacuri comune, cum ar fi cele care vizează mecanismele de autentificare ale unui API și vulnerabilitățile de injectare întâlnite frecvent în aplicațiile web. De asemenea, veți învăța tehnici de ocolire a protecțiilor împotriva acestor atacuri.

În cele nouă laboratoare ghidate ale cărții, care vizează API-uri intenționat vulnerabile, veți exersa:

- Enumerarea utilizatorilor și a punctelor finale ale API-urilor utilizând tehnici de fuzzing.

- Utilizarea Postman pentru a descoperi o vulnerabilitate de expunere excesivă a datelor.

- Efectuarea unui atac JSON Web Token împotriva unui proces de autentificare API.

- Combinarea mai multor tehnici de atac API pentru a efectua o injecție NoSQL.

- Atacarea unui API GraphQL pentru a descoperi o vulnerabilitate de autorizare la nivel de obiect.

Până la sfârșitul cărții, veți fi pregătiți să descoperiți acele erori API foarte profitabile pe care alți hackeri nu le găsesc și să îmbunătățiți securitatea aplicațiilor de pe web.