Hacking APIs|剖析Web API漏洞攻擊技法

　　資安人員與開發人員必須知道的API弱點

　　「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso

　　破解和網際網路緊密相連的功能鏈

　　本書提供Web API安全測試的速成課程，讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷，並讓自己的API更加安全。

　　這是一本實作導向的教材，一開始會先訴告你有關真實世界裡的REST API之工作模式，以及它們所面臨的安全問題，接著教你如何建置一套簡化的API測試環境，以及Burp Suite、Postman和其他測試工具(如：Kiterunner和OWASP Amass)，這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後，便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。

　　研讀本書的過程中，讀者有機會攻擊特意安排的API漏洞，並學到下列技巧：
　　‧使用模糊測試技術枚舉API的使用者資訊和端點
　　‧利用Postman探索資料過度暴露的漏洞
　　‧針對API身分驗證過程執行JSON Web Token攻擊
　　‧結合多種API攻擊技巧來實現NoSQL注入
　　‧攻擊GraphQL API以找出不當的物件級授權漏洞
　　‧學習使用Postman對API進行逆向工程
　　‧從API提供的功能找出程式邏輯缺失

　　本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法，以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。

作者簡介

Corey J. Ball

　　Corey J. Ball是Moss Adams的網路安全經理，負責領導滲透測試服務，擁有10年以上的IT和網路安全方面之工作經驗，並通過CISSP、OSCP和CCISO等專業認證。