Hacking APIs｜剖析Web API漏洞攻擊技法 (1版)

類似書籍推薦給您

內容簡介 　　資安人員與開發人員必須知道的API弱點 　　「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso 　　破解和網際網路緊密相連的功能鏈 　　本書提供Web API安全測試的速成課程，讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷，並讓自己的API更加安全。 　　這是一本實作導向的教材，一開始會先訴告你有關真實世界裡的REST API之工作模式，以及它們所面臨的安全問題，接著教你如何建置一套簡化的API測試環境，以及Burp Suite、Postman和其他測試工具(如：Kiterunner和OWASP Amass)，這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後，便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。 　　研讀本書的過程中，讀者有機會攻擊特意安排的API漏洞，並學到下列技巧： 　　‧使用模糊測試技術枚舉API的使用者資訊和端點 　　‧利用Postman探索資料過度暴露的漏洞 　　‧針對API身分驗證過程執行JSON Web Token攻擊 　　‧結合多種API攻擊技巧來實現NoSQL注入 　　‧攻擊GraphQL API以找出不當的物件級授權漏洞 　　‧學習使用Postman對API進行逆向工程 　　‧從API提供的功能找出程式邏輯缺失 　　本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法，以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。 目錄 序 致謝 引言 本書亮點 編排方式 攻擊API餐廳 翻譯風格說明 公司名稱或人名的翻譯 產品或工具程式的名稱不做翻譯 縮寫術語不翻譯 部分不按文字原義翻譯 縮寫術語全稱中英對照表 Part I 關於WEB API的安全性 CH0 為滲透測試做好事前準備 CH1 Web應用程式的運作方式 CH2 Web API剖析 CH3 API常見的漏洞 Part II 建置測試API的實驗環境 CH4 架設駭侵API的攻擊電腦 實作練習一：枚舉REST API裡的使用者帳戶 CH5 架設有漏洞的API靶機 實作練習二：尋找要攻擊的API Part III 攻擊API CH6 偵察情資 實作練習三：為黑箱測試執行主動偵察. CH7 端點分析 實作練習四：組建crAPI集合及尋找過度暴露的資料 CH8 攻擊身分驗證機制 實作練習五：破解crAPI JWT簽章 CH9 模糊測試 實作練習六：以模糊測試尋找不當資產管理漏洞 CH10 攻擊授權機制 實作練習七：找出另一位使用者的車輛位置 CH11 批量分配漏洞 實作練習八：竄改網路商店的商品價格. CH12 注入攻擊 實作練習九：利用NoSQL注入偽造優惠券 Part IV 真實的API入侵事件 CH13 應用規避技巧和檢測請求速率限制 CH14 攻擊GraphQL CH15 真實資料外洩事件和漏洞賞金計畫 總結 APP A Web API駭侵查核清單 APP B 參考文獻

物聯網時代的15堂資安基礎必修課 Practical IoT Hacking

類似書籍推薦給您

內容簡介 　　了解如何檢測物聯網裝置的安全，認識駭客的入侵手法 　　本書是IoT安全研究人員的真實經驗分享，您可從中學到如何藉由測試IoT系統、裝置和協定來降低風險。藉由本書的說明，您將可以了解如何檢測物聯網設備是否安全，以及入侵者如何執行執行VLAN跳躍、破解MQTT身分驗證、攻擊UPnP、開發mDNS投毒程式及進行WS-Discovery攻擊等攻擊手法的細節。 　　本書會深入介紹嵌入式IoT設備和RFID系統的破解手法，同時還能學到： 　　‧如何撰寫一支可作為NSE模組的DICOM服務掃描器 　　‧透過UART和SWD介面攻擊微控制器 　　‧對韌體進行逆向工程及分析搭配使用的行動APP 　　‧使用Proxmark3開發NFC的模糊測試工具 　　‧利用干擾無線警報系統、重播IP攝影機影片及控制智慧跑步機，展示如何入侵智慧居家系統 　　使用容易取得的軟硬體，可以自行實作練習 　　本書使用容易取得，且價格實惠的軟體工具和硬體裝置，實作練習無負擔，有關本書的程式範例亦可自Github下載取得，適合資安研究員、IT團隊成員，想研究駭客技術者，作為破解IoT生態的參考指南。 專家推薦 　　本書精采絕倫，必值一讀。 —Trusted Sec和Binary Defense創辦人：Dave Kennedy 　　以一種簡單、有效又條理分明的方式說明如何攻擊物聯網。 —EXPLIoT框架作者和Payatu共同創辦人：Aseem Jakhar 　　我真的很推薦這本書，無論你是物聯網裝置的玩家，還是負責審核物聯網裝置安全性的專業人員。 -Jaime Andrés Restrepo - DragonJAR.org的CEO 　　這本書的內容非常豐富，涵蓋了硬體、軟體、網路和無線射頻等領域的技術。 -Craig Young，Tripwire首席安全研究員 　　這本書裡頭有所有你希望專家可以告訴你的一切，所有物聯網安全研究人員和開發人員都應該收藏。我向任何有興趣使物聯網更安全的人推薦這本書。 -John Moor，物聯網安全基金會常務董事 目錄 第一篇 IoT的威脅形勢 第1章｜IoT的安全情勢 第2章｜威脅塑模 第3章｜檢測設備安全的方法論 第二篇 入侵網路 第4章｜評估網路設施 第5章｜分析網路協定 第6章｜攻擊零組態網路設定 第三篇 入侵硬體設備 第7章｜攻擊UART、JTAG及SWD 第8章｜SPI和I⊃2;C 第9章｜攻擊設備的韌體 第四篇 入侵無線設備 第10章｜短距離無線電：攻擊RFID 第11章｜攻擊低功耗藍牙 第12章｜中距離無線電：攻擊Wi-Fi 第13章｜長距離無線電：攻擊LPWAN 第五篇 瞄準IoT生態系 第14章｜攻擊行動裝置的APP 第15章｜攻擊智慧居家設備 附錄 入侵IoT所用工具