Corey J Ball - Hacking APIs
Breaking Web Application Programming InterfacesНазвание: | Hacking APIs | |
Автор: | Corey J Ball | |
Жанр: | Интернет, Хакерство | |
Изадано в серии: | неизвестно | |
Издательство: | No Starch Press | |
Год издания: | 2022 | |
ISBN: | 978-1-7185-0245-1,978-1-7185-0244-4 | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Hacking APIs"
Corey Ball’s Hacking APIs delivers exactly what it promises. From basic definitions, through the theory behind common API weaknesses and hacking best practices, the reader is encouraged to take a truly adversarial mindset. This highly effective, hands-on journey starts with tool introduction and reconnaissance, then covers everything from API fuzzing to complex access-control exploitation. With detailed labs, tips and tricks, and real-life examples, Hacking APIs is a complete workshop rolled into one book.
Читаем онлайн "Hacking APIs". [Страница - 2]
- 1
- 2
- 3
- 4
- . . .
- последняя (22) »
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
PART II: BUILDING AN API TESTING LAB . . . . . . . . . . . . . . . . . . . . . . . . 69
Chapter 4: Your API Hacking System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Chapter 5: Setting Up Vulnerable API Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
PART III: ATTACKING APIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Chapter 6: Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Chapter 7: Endpoint Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Chapter 8: Attacking Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Chapter 9: Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Chapter 10: Exploiting Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Chapter 11: Mass Assignment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Chapter 12: Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
PART IV: REAL-WORLD API HACKING . . . . . . . . . . . . . . . . . . . . . . . . . 265
Chapter 13: Applying Evasive Techniques and Rate Limit Testing . . . . . . . . . . . . . . . . . . . . 267
Chapter 14: Attacking GraphQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Chapter 15: Data Breaches and Bug Bounties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Appendix A: API Hacking Checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Appendix B: Additional Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
viii
Brief Contents
CO N T E N T S I N D E TA I L
FOREWORD
xvii
ACKNOWLEDGMENTS
xxi
INTRODUCTION
xxiii
The Allure of Hacking Web APIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
This Book’s Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
Hacking the API Restaurant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv
PART I: HOW WEB API SECURITY WORKS
1
0
PREPARING FOR YOUR SECURITY TESTS
3
Receiving Authorization . . . . . . . . . . .
Threat Modeling an API Test . . . . . . . .
Which API Features You Should Test . .
API Authenticated Testing . . .
Web Application Firewalls . .
Mobile Application Testing . .
Auditing API Documentation .
Rate Limit Testing . . . . . . . . .
Restrictions and Exclusions . . . . . . . . .
Security Testing Cloud APIs . .
DoS Testing . . . . . . . . . . . . .
Reporting and Remediation Testing . . .
A Note on Bug Bounty Scope . . . . . . .
Summary . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
--">
PART II: BUILDING AN API TESTING LAB . . . . . . . . . . . . . . . . . . . . . . . . 69
Chapter 4: Your API Hacking System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Chapter 5: Setting Up Vulnerable API Targets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
PART III: ATTACKING APIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Chapter 6: Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Chapter 7: Endpoint Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Chapter 8: Attacking Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Chapter 9: Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Chapter 10: Exploiting Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Chapter 11: Mass Assignment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Chapter 12: Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
PART IV: REAL-WORLD API HACKING . . . . . . . . . . . . . . . . . . . . . . . . . 265
Chapter 13: Applying Evasive Techniques and Rate Limit Testing . . . . . . . . . . . . . . . . . . . . 267
Chapter 14: Attacking GraphQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Chapter 15: Data Breaches and Bug Bounties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Appendix A: API Hacking Checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Appendix B: Additional Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
viii
Brief Contents
CO N T E N T S I N D E TA I L
FOREWORD
xvii
ACKNOWLEDGMENTS
xxi
INTRODUCTION
xxiii
The Allure of Hacking Web APIs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
This Book’s Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
Hacking the API Restaurant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv
PART I: HOW WEB API SECURITY WORKS
1
0
PREPARING FOR YOUR SECURITY TESTS
3
Receiving Authorization . . . . . . . . . . .
Threat Modeling an API Test . . . . . . . .
Which API Features You Should Test . .
API Authenticated Testing . . .
Web Application Firewalls . .
Mobile Application Testing . .
Auditing API Documentation .
Rate Limit Testing . . . . . . . . .
Restrictions and Exclusions . . . . . . . . .
Security Testing Cloud APIs . .
DoS Testing . . . . . . . . . . . . .
Reporting and Remediation Testing . . .
A Note on Bug Bounty Scope . . . . . . .
Summary . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
--">
- 1
- 2
- 3
- 4
- . . .
- последняя (22) »
Книги схожие с «Hacking APIs» по жанру, серии, автору или названию:
Алекс Сучжон-Ким Пан - Укрощение цифровой обезьяны. Как избавиться от интернет-зависимости Жанр: Психология Год издания: 2014 |
А Ш Левин - Интернет для людей старшего возраста Жанр: Интернет Год издания: 2014 |