Értékelés:
Corey Ball „Hacking APIs” című könyve egy átfogó útmutató, amely a webes API biztonsági tesztelésére összpontosít, és egyaránt alkalmas kezdők és tapasztalt kiberbiztonsági szakemberek számára. Részletes betekintést nyújt az API alapjai, a biztonsági gyakorlatok, a sebezhetőségek feltárása és a releváns eszközök terén. A könyv gyakorlati laboratóriumokat is tartalmaz a gyakorlati tanuláshoz, bár néhány felhasználó a bevezető részeket alapvetőnek találta. Bár a könyv oktatói minősége miatt erősen ajánlott, egyes felhasználók szerint nem biztos, hogy megfelel a tapasztalt fejlesztők elvárásainak.
Előnyök:⬤ Átfogó útmutató az API-biztonságról
⬤ jól strukturált és könnyen követhető
⬤ gyakorlati laborokat tartalmaz a gyakorlati tapasztalatszerzéshez
⬤ kezdőknek és haladóknak egyaránt alkalmas
⬤ magas színvonalú írás világos magyarázatokkal
⬤ nagy hangsúlyt fektet a modern kiberbiztonsági trendekre.
⬤ A bevezető részek túlságosan alapszintűek lehetnek a tapasztalt fejlesztők számára
⬤ a papíralapú változat kényelmetlen lehet a terjedelmes URL-ek miatt
⬤ egyes felhasználók szerint kevés a megvalósítható tartalom
⬤ a teljes megértéshez előzetes ismeretekre van szükség.
(23 olvasói vélemény alapján)
Hacking APIs: Breaking Web Application Programming Interfaces
A Hacking APIs egy gyorstalpaló tanfolyam a webes API biztonsági teszteléséről, amely felkészíti Önt az API-k behatolás-tesztelésére, a hibajuttatási programok magas jutalmainak elnyerésére, és saját API-jainak biztonságosabbá tételére.
Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure.
Megtanulod, hogyan működnek a REST és a GraphQL API-k a vadonban, és a Burp Suite és a Postman segítségével felállíthatsz egy egyszerűsített API-tesztelő laboratóriumot. Ezután elsajátítod a felderítéshez, végpontelemzéshez és fuzzinghoz hasznos eszközöket, például a Kiterunnert és az OWASP Amass-t. Ezután megtanulja, hogyan hajtson végre gyakori támadásokat, például az API hitelesítési mechanizmusait és a webes alkalmazásokban gyakran előforduló injekciós sebezhetőségeket. Az ilyen támadások elleni védelem megkerülésére szolgáló technikákat is elsajátíthat.
A könyv kilenc vezetett gyakorlatában, amelyek szándékosan sebezhető API-kat céloznak meg, a következőket gyakorolhatja:
- API-k felhasználóinak és végpontjainak felsorolása fuzzing technikák segítségével.
- A Postman használata egy túlzott adatfeltárási sebezhetőség felfedezéséhez.
- JSON Web Token támadás végrehajtása egy API-hitelesítési folyamat ellen.
- Több API támadási technika kombinálása egy NoSQL injekció végrehajtásához.
- Egy GraphQL API támadása egy sérült objektumszintű engedélyezési sebezhetőség feltárása érdekében.
A könyv végére felkészült leszel arra, hogy felfedezd azokat a nagy kifizetődésű API-hibákat, amelyeket más hackerek nem találnak meg, és javítsd a webes alkalmazások biztonságát.