Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure.
You’ll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you’ll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you’ll learn to perform common attacks, like those targeting an API’s authentication mechanisms and the injection vulnerabilities commonly found in web applications. You’ll also learn techniques for bypassing protections against these attacks.
In the book’s nine guided labs, which target intentionally vulnerable APIs, you’ll practice:
• Enumerating APIs users and endpoints using fuzzing techniques
• Using Postman to discover an excessive data exposure vulnerability
• Performing a JSON Web Token attack against an API authentication process
• Combining multiple API attack techniques to perform a NoSQL injection
• Attacking a GraphQL API to uncover a broken object level authorization vulnerability
By the end of the book, you’ll be prepared to uncover those high-payout API bugs other hackers aren’t finding and improve the security of applications on the web.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hacking APIs - это экспресс-курс по тестированию безопасности веб-интерфейсов, который подготовит вас к тестированию API на проникновение, получению высоких вознаграждений в рамках программ "баг баунти" и повышению безопасности ваших собственных API.
Вы узнаете, как API REST и GraphQL работают в реальных условиях, и создадите оптимизированную лабораторию тестирования API с помощью Burp Suite и Postman. Затем вы освоите инструменты, полезные для разведки, анализа конечных точек и фаззинга, такие как Kiterunner и OWASP Amass. Далее вы научитесь выполнять распространенные атаки, например, направленные на механизмы аутентификации API и уязвимости инъекций, часто встречающиеся в веб-приложениях. Вы также узнаете методы обхода защиты от этих атак.
В девяти лабораторных заданиях книги, которые направлены на намеренно уязвимые API, вы сможете попрактиковаться:
- перечисление пользователей и конечных точек API с помощью методов fuzzing.
- использование Postman для обнаружения уязвимости чрезмерного раскрытия данных
- Выполнение атаки JSON Web Token против процесса аутентификации API.
- Комбинирование нескольких методов атаки на API для выполнения NoSQL-инъекции
- Атака на GraphQL API для обнаружения уязвимости авторизации на уровне объекта
К концу книги вы будете готовы обнаружить те высокодоходные ошибки API, которые не находят другие хакеры, и повысить безопасность приложений в Интернете.
cloud.mail.ru
You’ll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you’ll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you’ll learn to perform common attacks, like those targeting an API’s authentication mechanisms and the injection vulnerabilities commonly found in web applications. You’ll also learn techniques for bypassing protections against these attacks.
In the book’s nine guided labs, which target intentionally vulnerable APIs, you’ll practice:
• Enumerating APIs users and endpoints using fuzzing techniques
• Using Postman to discover an excessive data exposure vulnerability
• Performing a JSON Web Token attack against an API authentication process
• Combining multiple API attack techniques to perform a NoSQL injection
• Attacking a GraphQL API to uncover a broken object level authorization vulnerability
By the end of the book, you’ll be prepared to uncover those high-payout API bugs other hackers aren’t finding and improve the security of applications on the web.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hacking APIs - это экспресс-курс по тестированию безопасности веб-интерфейсов, который подготовит вас к тестированию API на проникновение, получению высоких вознаграждений в рамках программ "баг баунти" и повышению безопасности ваших собственных API.
Вы узнаете, как API REST и GraphQL работают в реальных условиях, и создадите оптимизированную лабораторию тестирования API с помощью Burp Suite и Postman. Затем вы освоите инструменты, полезные для разведки, анализа конечных точек и фаззинга, такие как Kiterunner и OWASP Amass. Далее вы научитесь выполнять распространенные атаки, например, направленные на механизмы аутентификации API и уязвимости инъекций, часто встречающиеся в веб-приложениях. Вы также узнаете методы обхода защиты от этих атак.
В девяти лабораторных заданиях книги, которые направлены на намеренно уязвимые API, вы сможете попрактиковаться:
- перечисление пользователей и конечных точек API с помощью методов fuzzing.
- использование Postman для обнаружения уязвимости чрезмерного раскрытия данных
- Выполнение атаки JSON Web Token против процесса аутентификации API.
- Комбинирование нескольких методов атаки на API для выполнения NoSQL-инъекции
- Атака на GraphQL API для обнаружения уязвимости авторизации на уровне объекта
К концу книги вы будете готовы обнаружить те высокодоходные ошибки API, которые не находят другие хакеры, и повысить безопасность приложений в Интернете.
Hacking APIs Breaking Web Application Programming Interfaces.pdf
Вам открыли доступ к файлу. Отправлено с помощью Облако Mail
cloud.mail.ru
