內容簡介 　　資安人員與開發人員必須知道的API弱點 　　「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso 　　破解和網際網路緊密相連的功能鏈 　　本書提供Web API安全測試的速成課程，讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷，並讓自己的API更加安全。 　　這是一本實作導向的教材，一開始會先訴告你有關真實世界裡的REST API之工作模式，以及它們所面臨的安全問題，接著教你如何建置一套簡化的API測試環境，以及Burp Suite、Postman和其他測試工具(如：Kiterunner和OWASP Amass)，這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後，便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。 　　研讀本書的過程中，讀者有機會攻擊特意安排的API漏洞，並學到下列技巧： 　　‧使用模糊測試技術枚舉API的使用者資訊和端點 　　‧利用Postman探索資料過度暴露的漏洞 　　‧針對API身分驗證過程執行JSON Web Token攻擊 　　‧結合多種API攻擊技巧來實現NoSQL注入 　　‧攻擊GraphQL API以找出不當的物件級授權漏洞 　　‧學習使用Postman對API進行逆向工程 　　‧從API提供的功能找出程式邏輯缺失 　　本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法，以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。 目錄 序 致謝 引言 本書亮點 編排方式 攻擊API餐廳 翻譯風格說明 公司名稱或人名的翻譯 產品或工具程式的名稱不做翻譯 縮寫術語不翻譯 部分不按文字原義翻譯 縮寫術語全稱中英對照表 Part I 關於WEB API的安全性 CH0 為滲透測試做好事前準備 CH1 Web應用程式的運作方式 CH2 Web API剖析 CH3 API常見的漏洞 Part II 建置測試API的實驗環境 CH4 架設駭侵API的攻擊電腦 實作練習一：枚舉REST API裡的使用者帳戶 CH5 架設有漏洞的API靶機 實作練習二：尋找要攻擊的API Part III 攻擊API CH6 偵察情資 實作練習三：為黑箱測試執行主動偵察. CH7 端點分析 實作練習四：組建crAPI集合及尋找過度暴露的資料 CH8 攻擊身分驗證機制 實作練習五：破解crAPI JWT簽章 CH9 模糊測試 實作練習六：以模糊測試尋找不當資產管理漏洞 CH10 攻擊授權機制 實作練習七：找出另一位使用者的車輛位置 CH11 批量分配漏洞 實作練習八：竄改網路商店的商品價格. CH12 注入攻擊 實作練習九：利用NoSQL注入偽造優惠券 Part IV 真實的API入侵事件 CH13 應用規避技巧和檢測請求速率限制 CH14 攻擊GraphQL CH15 真實資料外洩事件和漏洞賞金計畫 總結 APP A Web API駭侵查核清單 APP B 參考文獻