Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych
- Autor:
- Corey J. Ball
- Wydawnictwo:
- Helion
- Wydawnictwo:
- Helion
- Ocena:
- 4.0/6 Opinie: 2
- Stron:
- 360
- Druk:
- oprawa miękka
- Dostępne formaty:
-
PDFePubMobi
Opis ebooka: Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych
Jeśli najcenniejszym zasobem świata są dane, to interfejsy API można porównać do cyfrowych rurociągów przesyłających cenny towar pomiędzy kontrahentami. Ta technologia, dzięki temu, że umożliwia wymianę danych między różnymi aplikacjami, zmieniła sposób projektowania oprogramowania. API mają jednak bardzo poważną wadę: podatność na ataki. Bardzo często hakerzy traktują je jako otwarte drzwi do cennych danych. A to najkrótsza droga do katastrofy.
Ta książka stanowi przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych. Dzięki niej przygotujesz się do testowania interfejsów, wyszukiwania błędów i zwiększania bezpieczeństwa własnoręcznie napisanych interfejsów. Dowiesz się, jak interfejsy REST API działają w środowisku produkcyjnym i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów: Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Następnie nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych czy typowe słabe punkty interfejsów. Dowiesz się też, jak tworzyć skrypty międzyinterfejsowe, a także jak prowadzić masowe przypisania i wstrzykiwanie danych.
Ta książka to żyła złota dla hakerów interfejsów API!
Chris Roberts, vCISO
Dzięki książce nauczysz się:
- identyfikować użytkowników i punkty końcowe API
- wykrywać nadmierną ekspozycję danych
- atakować proces uwierzytelniania
- wstrzykiwać zapytania NoSQL
- przeprowadzać inżynierię wsteczną interfejsu API
- wykrywać błędy w procedurach biznesowych
Czy już wiesz, jak atakuje prawdziwy wróg?
"Żyła złota dla hakerów interfejsów API".
Chris Roberts, vCISO
Zerwij łańcuchy skuwające internet
Hakowanie interfejsów API to przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych, który przygotuje Cię do testowania interfejsów, wyszukiwania błędów (często nie dostrzeganych przez innych testerów) oraz do zwiększania bezpieczeństwa własnych interfejsów.
Z tego praktycznego przewodnika dowiesz się, jak interfejsy REST API działają w prawdziwym świecie i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Wzbogacony o podstawową wiedzę nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych, typowe słabe punkty interfejsów, podatności na skrypty między interfejsowe, masowe przypisania i wstrzykiwanie danych.
Podczas lektury tej książki poznasz interfejsy API z założenia podatne na ataki i nauczysz się:
- zakłócać interfejsy API w celu identyfikacji użytkowników i punktów końcowych,
- wykrywać nadmierną ekspozycję danych za pomocą programu Postman,
- przeprowadzać ataki na proces uwierzytelniania z wykorzystaniem tokenów JWT,
- łączyć różne techniki ataków w celu wstrzykiwania zapytań NoSQL,
- atakować interfejs GraphQL API i wykrywać wadliwą autoryzację na poziomie obiektu,
- przeprowadzać inżynierię odwrotną interfejsu API za pomocą programu Postman,
- używać funkcjonalności interfejsu API do wykrywania błędów w procedurach biznesowych.
Książkę kończy szczegółowy opis metod omijania rzeczywistych zabezpieczeń i atakowania interfejsów GraphQL API. Poznasz również znalezione przez hakerów luki w interfejsach serwisów Starbucks i Instagram.
Wybrane bestsellery
-
Ten przewodnik, który docenią programiści i architekci, zawiera wyczerpujące omówienie zagadnień projektowania, funkcjonowania i modyfikowania architektury API. Od strony praktycznej przedstawia strategie budowania i testowania API REST umożliwiającego połączenie oferowanej funkcjonalności na poz...(41.40 zł najniższa cena z 30 dni)
41.40 zł
69.00 zł(-40%) -
Firmy z branży IT prześcigają się w tworzeniu rozwiązań zwiększających wydajność pracy, jak również podnoszących poziom specjalizacji pracowników w określonych dziedzinach. Od kilku już lat pozycja full stack developera, który wykonywał wszystkie prace programistyczne, jest wielką rzadkością. Obe...(63.60 zł najniższa cena z 30 dni)
55.65 zł
159.00 zł(-65%) -
API to akronim pochodzącego z języka angielskiego terminu application programming interface, co tłumaczy się jako interfejs programowania aplikacji. W praktyce to zestaw zasad i protokołów, które pozwalają różnym programom komunikować się ze sobą. API może być używane do inte...(74.50 zł najniższa cena z 30 dni)
89.40 zł
149.00 zł(-40%) -
W tej książce omówiono techniki wdrażania systemów na platformie AWS i zasady zarządzania nimi. Zaprezentowano podstawy korzystania z usługi Identity and Access Management oraz narzędzia sieciowe i monitorujące chmury AWS. Poruszono tematy Virtual Private Cloud, Elastic Compute Cloud, równoważeni...(47.40 zł najniższa cena z 30 dni)
47.40 zł
79.00 zł(-40%) -
Spring to technologia, która powstała, by ułatwić codzienną pracę programistom tworzącym elastyczne aplikacje. Przez dwadzieścia lat istnienia Spring podbił serca miłośników Javy i stał się najpopularniejszym frameworkiem dla tego języka. Za tak dużą popularnością przemawiają liczne...(49.50 zł najniższa cena z 30 dni)
49.50 zł
99.00 zł(-50%) -
Many organizations today orchestrate and maintain apps that rely on other people's services. Software designers, developers, and architects in those companies often work to coordinate and maintain apps based on existing microservices, including third-party services that run outside their ecosyste...(156.67 zł najniższa cena z 30 dni)
156.62 zł
209.00 zł(-25%) -
Szeroka dostępność Internetu przyczyniła się do stopniowego odchodzenia od przechowywania danych lokalnie i na nośnikach fizycznych. Dziś rozwiązania te są wypierane przez zdalną bazę danych ulokowaną na zewnętrznym serwerze — powszechnie znanym jako chmura. Zmienia się nie tylko zapis plik...(67.05 zł najniższa cena z 30 dni)
74.50 zł
149.00 zł(-50%) -
Wiesz, czym jest REST API? Skoro rozpoczynasz przygodę z programowaniem albo jej początki masz już za sobą, pewnie wiesz - a przynajmniej znasz te terminy ze słyszenia. Mimo to przypominamy: API, czyli aplikacyjny interfejs programistyczny, to zestaw reguł określających sposób, w jaki urzą...(59.59 zł najniższa cena z 30 dni)
59.59 zł
149.00 zł(-60%) -
A lot of work is required to release an API, but the effort doesn't always pay off. Overplanning before an API matures is a wasted investment, while underplanning can lead to disaster. The second edition of this book provides maturity models for individual APIs and multi-API landscapes to help yo...(159.26 zł najniższa cena z 30 dni)
159.21 zł
209.00 zł(-24%) -
Angular to potężne narzędzie służące do budowania różnego rodzaju aplikacji internetowych. Jako technologia frontendowa szczególne wsparcie oferuje osobom przygotowującym interfejsy użytkownika. Tym bardziej że poszczególne komponenty tej platformy naprawdę ułatwiają pracę - na przykład bibliotek...(58.04 zł najniższa cena z 30 dni)
51.60 zł
129.00 zł(-60%)
O autorze ebooka
Corey Ball zajmuje się testami penetracyjnymi w Moss Adams. Od ponad dziesięciu lat specjalizuje się w bezpieczeństwie cybernetycznym w lotnictwie, energetyce, finansach i w administracji państwowej. Posiada certyfikaty branżowe: OSCP, CCISO, CEH, CISA, CISM, CRISC i CGEIT.
Zobacz pozostałe książki z serii
-
Rozwiązanie problemu znajdziesz w tej książce. Została ona napisana specjalnie z myślą o osobach, które administrują małymi sieciami, dysponują niewielkim budżetem i ograniczonym wsparciem profesjonalistów. Dzięki niej zrozumiesz podstawy zabezpieczania łączności sieciowej i poznasz sposoby zabez...(40.20 zł najniższa cena z 30 dni)
40.20 zł
67.00 zł(-40%) -
To trzecie, zaktualizowane i uzupełnione wydanie bestsellerowego podręcznika programowania w Pythonie. Naukę rozpoczniesz od podstawowych koncepcji programowania. Poznasz takie pojęcia jak zmienne, listy, klasy i pętle, a następnie utrwalisz je dzięki praktycznym ćwiczeniom. Dowiesz się, jak zape...(71.40 zł najniższa cena z 30 dni)
71.40 zł
119.00 zł(-40%) -
Dzięki tej książce zrozumiesz, że w rekurencji nie kryje się żadna magia. Dowiesz się, na czym polega jej działanie i kiedy warto zastosować algorytm rekursywny, a kiedy lepiej tego nie robić. Poznasz szereg klasycznych i mniej znanych algorytmów rekurencyjnych. Pracę z zawartym tu materiałem uła...(47.40 zł najniższa cena z 30 dni)
47.40 zł
79.00 zł(-40%) -
Poznanie języka to jednak dopiero połowa sukcesu. Musisz też wiedzieć, jakie operacje w systemie wykonuje ten język. Do zbadania, jak działa kompilator i co dzieje się za kulisami, w książce tej wykorzystywana jest płytka rozwojowa Nucleo z niewielkim, tanim mikroukładem ARM. Dowiesz się, jak pra...(52.20 zł najniższa cena z 30 dni)
52.20 zł
87.00 zł(-40%) -
Wielu adeptów kodowania ulega złudnemu przekonaniu, że opanowanie jakiegoś języka programowania wystarczy, aby być programistą. Nader często w pośpiechu piszą nieuporządkowany kod, który zawiera mnóstwo powtórzeń i jest kompletnie nieczytelny. Tymczasem prawdziwi mistr...(35.40 zł najniższa cena z 30 dni)
35.40 zł
59.00 zł(-40%) -
Ta książka jest doskonałym wprowadzeniem do inżynierii społecznej. Omawia koncepcje psychologiczne leżące u podstaw tej dyscypliny i jej aspekty etyczne. Zaprezentowano tu narzędzie ułatwiające korzystanie z technik inżynierii społecznej w atakach socjotechnicznych. Następnie szczegółowo pokazano...(41.40 zł najniższa cena z 30 dni)
41.40 zł
69.00 zł(-40%) -
Ta książka powstała z myślą o architektach oprogramowania, projektantach, programistach i dyrektorach do spraw technicznych. Zwięźle i przystępnie opisano w niej, jak zadbać o bezpieczeństwo na wczesnym etapie projektowania oprogramowania i jak zaangażować w ten proces cały team. Najpierw zapreze...(47.40 zł najniższa cena z 30 dni)
47.40 zł
79.00 zł(-40%) -
Przeczytasz o tym, jak wykrywać nowe luki w oprogramowaniu, jak tworzyć trojany i rootkity, a także jak używać techniki wstrzykiwania SQL. Zapoznasz się również z szeroką gamą narzędzi do przeprowadzania testów penetracyjnych (takich jak Metasploit Framework, mimikatz i BeEF), rozeznasz się w dzi...(53.40 zł najniższa cena z 30 dni)
53.40 zł
89.00 zł(-40%) -
Ta książka jest kompleksowym i praktycznym przewodnikiem po hakowaniu aplikacji internetowych w ramach udziału w programach bug bounty. Znajdziesz w niej wszystkie niezbędne informacje, od budowania relacji z klientami i pisania znakomitych raportów o błędach w zabezpieczeniach po naukę zaawansow...(59.40 zł najniższa cena z 30 dni)
59.40 zł
99.00 zł(-40%) -
Wykrywanie śladów niewłaściwego użycia dotyczy maszyn, które zarówno posłużyły do przeprowadzenia ataków, jak i były ich przedmiotem. Obecnie dostępnych jest wiele opracowań poświęconych sposobom działania na miejscu zdarzenia i analizie działających systemów Linux za pomocą poleceń dostępnych po...(77.40 zł najniższa cena z 30 dni)
77.40 zł
129.00 zł(-40%)
Ebooka "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" przeczytasz na:
-
czytnikach Inkbook, Kindle, Pocketbook, Onyx Boox i innych
-
systemach Windows, MacOS i innych
-
systemach Windows, Android, iOS, HarmonyOS
-
na dowolnych urządzeniach i aplikacjach obsługujących formaty: PDF, EPub, Mobi
Masz pytania? Zajrzyj do zakładki Pomoc »
Audiobooka "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" posłuchasz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolnych urządzeniach i aplikacjach obsługujących format MP3 (pliki spakowane w ZIP)
Masz pytania? Zajrzyj do zakładki Pomoc »
Kurs Video "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" zobaczysz:
-
w aplikacjach Ebookpoint i Videopoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych z dostępem do najnowszej wersji Twojej przeglądarki internetowej
Szczegóły ebooka
- Tytuł oryginału:
- Hacking APIs: Breaking Web Application Programming Interfaces
- Tłumaczenie:
- Andrzej Watrak
- ISBN Książki drukowanej:
- 978-83-832-2408-4, 9788383224084
- Data wydania książki drukowanej:
- 2023-08-16
- ISBN Ebooka:
- 978-83-832-2409-1, 9788383224091
- Data wydania ebooka:
- 2023-08-16 Data wydania ebooka często jest dniem wprowadzenia tytułu do sprzedaży i może nie być równoznaczna z datą wydania książki papierowej. Dodatkowe informacje możesz znaleźć w darmowym fragmencie. Jeśli masz wątpliwości skontaktuj się z nami sklep@ebookpoint.pl.
- Format:
- 165x228
- Numer z katalogu:
- 199038
- Rozmiar pliku Pdf:
- 8.5MB
- Rozmiar pliku ePub:
- 14.2MB
- Rozmiar pliku Mobi:
- 25.2MB
- Pobierz przykładowy rozdział PDF
Spis treści ebooka
- 0. PRZYGOTOWANIE TESTÓW BEZPIECZEŃSTWA
- Uzyskanie upoważnienia
- Modelowanie zagrożeń przed testem interfejsu API
- Jakie cechy interfejsu API należy testować?
- Testy mechanizmów uwierzytelniania
- Zapory WAF
- Testy aplikacji mobilnych
- Audyt dokumentacji interfejsu API
- Testy limitu zapytań
- Ograniczenia i wykluczenia
- Testy chmurowych interfejsów API
- Testy odporności na ataki DoS
- Raportowanie i testowanie środków zaradczych
- Uwaga dotycząca programów dla łowców nagród
- Podsumowanie
- 1. JAK DZIAŁAJĄ APLIKACJE INTERNETOWE?
- Podstawy aplikacji internetowych
- Adres URL
- Zapytania HTTP
- Odpowiedzi HTTP
- Kody stanu HTTP
- Metody HTTP
- Połączenia stanowe i bezstanowe
- Bazy danych w aplikacjach internetowych
- Relacyjne bazy danych
- Nierelacyjne bazy danych
- Miejsce interfejsów API
- Podsumowanie
- Podstawy aplikacji internetowych
- 2. ANATOMIA INTERFEJSU API
- Jak działają internetowe interfejsy API?
- Typy internetowych interfejsów API
- REST
- GraphQL
- Specyfikacje REST API
- Formaty wymiany danych
- JSON
- XML
- YAML
- Uwierzytelnianie
- Podstawowe uwierzytelnienie
- Klucze API
- Tokeny JWT
- HMAC
- OAuth 2.0
- Brak uwierzytelnienia
- Praktyczne ćwiczenie: badanie interfejsu API Twittera
- Podsumowanie
- 3. TYPOWE PODATNOŚCI INTERFEJSÓW API
- Wycieki informacji
- Wadliwa autoryzacja na poziomie obiektu
- Wadliwa autoryzacja użytkownika
- Nadmierna ekspozycja danych
- Brak zasobów i limitu zapytań
- Wadliwa autoryzacja na poziomie funkcji
- Przypisanie masowe
- Błędna konfiguracja zabezpieczeń
- Wstrzykiwanie danych
- Niewłaściwe zarządzanie zasobami
- Błędy w procedurach biznesowych
- Podsumowanie
- 4. TWÓJ SYSTEM HAKERSKI
- Kali Linux
- Analiza aplikacji internetowych za pomocą DevTools
- Przechwytywanie i modyfikowanie zapytań za pomocą Burp Suite
- Konfiguracja FoxyProxy
- Instalacja certyfikatu Burp Suite
- Korzystanie z programu Burp Suite
- Przechwytywanie komunikacji
- Modyfikowanie zapytań za pomocą modułu Intruder
- Wysyłanie zapytań za pomocą programu Postman
- Edytor zapytań
- Środowisko
- Kolekcja
- Wysyłanie kolekcji zapytań
- Generowanie kodu
- Testy
- Integracja programów Postman i Burp Suite
- Dodatkowe narzędzia
- Przeprowadzanie rekonesansu za pomocą narzędzia OWASP Amass
- Wykrywanie punktów końcowych za pomocą programu Kiterunner
- Wykrywanie podatności za pomocą Nikto
- Wykrywanie podatności za pomocą OWASP ZAP
- Zakłócanie za pomocą Wfuzz
- Wykrywanie parametrów zapytań za pomocą Arjun
- Podsumowanie
- Ćwiczenie 1. Zliczenie kont użytkowników interfejsu API
- 5. PRZYGOTOWANIE PODATNYCH INTERFEJSÓW API
- Utworzenie hosta z systemem Linux
- Instalacja środowisk Docker i Docker Compose
- Instalacja podatnych aplikacji
- crAPI
- Pixi
- Juice Shop
- DVGA
- Inne podatne aplikacje
- Hakowanie interfejsów API w serwisach TryHackMe i HackTheBox
- Podsumowanie
- Ćwiczenie 2. Wyszukanie podatnych na ataki interfejsów API
- 6. ODKRYWANIE INTERFEJSÓW API
- Rekonesans pasywny
- Proces rekonesansu pasywnego
- Hakowanie za pomocą Google
- Katalog interfejsów API - ProgrammableWeb
- Shodan
- OWASP Amass
- Informacje eksponowane w serwisie GitHub
- Rekonesans aktywny
- Proces rekonesansu aktywnego
- Ogólne skanowanie za pomocą Nmap
- Wyszukiwanie ukrytych ścieżek w pliku robots.txt
- Wyszukiwanie poufnych informacji za pomocą Chrome DevTools
- Weryfikacja interfejsu API za pomocą Burp Suite
- Skanowanie identyfikatorów URI za pomocą OWASP ZAP
- Wyszukiwanie identyfikatorów URI metodą brutalnej siły za pomocą programu Gobuster
- Wykrywanie zasobów interfejsów API za pomocą narzędzia Kiterunner
- Podsumowanie
- Ćwiczenie 3. Rekonesans aktywny w teście czarnej skrzynki
- Rekonesans pasywny
- 7. ANALIZA PUNKTÓW KOŃCOWYCH
- Pozyskiwanie informacji o zapytaniach
- Wyszukiwanie informacji w dokumentacji
- Import specyfikacji interfejsu API
- Inżynieria odwrotna interfejsu API
- Konfiguracja uwierzytelnienia w programie Postman
- Analiza funkcjonalności interfejsu
- Testowanie interfejsu zgodnie z przeznaczeniem
- Wykonywanie operacji jako uwierzytelniony użytkownik
- Analiza odpowiedzi
- Wyszukiwanie wycieków informacji
- Wyszukiwanie błędów w konfiguracji zabezpieczeń
- Szczegółowe komunikaty o błędach
- Słabe algorytmy szyfrowania
- Problematyczna konfiguracja
- Wyszukiwanie nadmiernej ekspozycji danych
- Wyszukiwanie błędów w procedurach biznesowych
- Podsumowanie
- Ćwiczenie 4. Utworzenie kolekcji crAPI i identyfikacja nadmiernej ekspozycji danych
- Pozyskiwanie informacji o zapytaniach
- 8. ATAKOWANIE PROCESU UWIERZYTELNIANIA UŻYTKOWNIKÓW
- Typowe ataki na procesy uwierzytelniania użytkowników
- Łamanie poświadczeń metodą brutalnej siły
- Reset hasła i atakowanie procesu uwierzytelnienia wieloskładnikowego metodą brutalnej siły
- Rozpylanie haseł
- Kodowanie Base64 w atakach metodą brutalnej siły
- Fałszowanie tokenów
- Analiza ręcznie załadowanej listy tokenów
- Analiza przechwytywanych tokenów
- Generowanie prawdopodobnych tokenów
- Łamanie tokenów JWT
- Identyfikacja i analiza tokenów JWT
- Eliminacja algorytmu kodowania
- Podmiana algorytmu
- Łamanie tokenu JWT
- Podsumowanie
- Ćwiczenie 5. Łamanie podpisu tokenu JWT w aplikacji crAPI
- Typowe ataki na procesy uwierzytelniania użytkowników
- 9. ZAKŁÓCANIE INTERFEJSU API
- Skuteczne zakłócanie interfejsów API
- Dobór ładunków zakłócających
- Wykrywanie anomalii
- Zakłócanie interfejsu wszerz i w głąb
- Zakłócanie interfejsu wszerz za pomocą programu Postman
- Zakłócanie interfejsu w głąb za pomocą programu Burp Suite
- Zakłócanie interfejsu w głąb za pomocą programu Wfuzz
- Zakłócanie interfejsu wszerz i identyfikowanie niewłaściwego zarządzania zasobami
- Testowanie metod HTTP za pomocą programu Wfuzz
- Głębsze zakłócanie interfejsu i omijanie weryfikacji danych wejściowych
- Zakłócanie interfejsu i przełączanie katalogów
- Podsumowanie
- Ćwiczenie 6. Zakłócanie interfejsu wszerz i niewłaściwe zarządzanie zasobami
- Skuteczne zakłócanie interfejsów API
- 10. EKSPLORACJA PROCESU AUTORYZACJI UŻYTKOWNIKÓW
- Identyfikacja podatności BOLA
- Określenie identyfikatora zasobu
- Test A-B podatności BOLA
- Test podatności BOLA z użyciem kanału bocznego
- Identyfikacja podatności BFLA
- Test A-B-A podatności BFLA
- Testowanie podatności BFLA za pomocą programu Postman
- Wskazówki dotyczące hakowania procesu autoryzacji
- Zmienne kolekcji w programie Postman
- Wyszukiwanie i zmienianie zapytań w programie Burp Suite
- Podsumowanie
- Ćwiczenie 7. Lokalizacja pojazdu innego użytkownika
- Identyfikacja podatności BOLA
- 11. PRZYPISANIE MASOWE
- Identyfikowanie przypisania masowego
- Rejestrowanie konta
- Nieautoryzowany dostęp do zasobów innej organizacji
- Identyfikacja kluczy
- Wyszukiwanie kluczy w dokumentacji
- Zakłócanie niezrozumiałych kluczy
- Losowe testowanie podatności na przypisanie masowe
- Testowanie podatności na przypisanie masowe za pomocą programów Arjun i Burp Suite Intruder
- Test podatności BFLA i przypisania masowego
- Podsumowanie
- Ćwiczenie 8. Modyfikacja ceny produktu w sklepie internetowym
- Identyfikowanie przypisania masowego
- 12. WSTRZYKIWANIE DANYCH
- Identyfikacja podatności na wstrzykiwanie danych
- Skrypty międzydomenowe (XSS)
- Skrypty międzyinterfejsowe (XAS)
- Wstrzykiwanie zapytań SQL
- Specjalne ciągi znaków w zapytaniach SQL
- SQLmap
- Wstrzykiwanie zapytań NoSQL
- Wstrzykiwanie poleceń systemu operacyjnego
- Podsumowanie
- Ćwiczenie 9. Wyłudzanie kuponów poprzez wstrzykiwanie zapytań NoSQL
- 13. OMIJANIE ZABEZPIECZEŃ I TESTOWANIE LIMITU ZAPYTAŃ
- Omijanie mechanizmów ochrony
- Jak funkcjonuje mechanizm ochrony?
- Wykrywanie mechanizmów ochrony
- Fikcyjne konta
- Techniki uników
- Omijanie zabezpieczeń za pomocą programu Burp Suite
- Omijanie zabezpieczeń za pomocą programu Wfuzz
- Testowanie limitu zapytań
- Przestrzeganie łagodnych limitów
- Modyfikacja ścieżki URL
- Fałszowanie nagłówka pochodzenia
- Rotacja adresów IP w Burp Suite
- Podsumowanie
- Omijanie mechanizmów ochrony
- 14. ATAKOWANIE INTERFEJSU GRAPHQL API
- Zapytania GraphQL i środowisko IDE
- Aktywny rekonesans aplikacji DVGA
- Skanowanie
- Badanie za pomocą przeglądarki
- Badanie za pomocą narzędzi DevTools
- Inżynieria odwrotna interfejsu GraphQL API
- Identyfikacja punktu końcowego metodą brutalnej siły
- Modyfikacja nagłówka w celu uzyskania dostępu do środowiska GraphiQL
- Inżynieria odwrotna interfejsu GraphQL API
- Inżynieria odwrotna interfejsu przy użyciu zapytania introspekcyjnego
- Analiza interfejsu GraphQL API
- Tworzenie zapytań za pomocą eksploratora dokumentacji
- Rozszerzenie InQL programu Burp Suite
- Zakłócanie i wstrzykiwanie poleceń
- Podsumowanie
- 15. WŁAMANIA DO INTERFEJSÓW API I POLOWANIA NA NAGRODYWłamania do interfejsów API i polowania na nagrody
- Włamania
- Peloton
- Poczta Stanów Zjednoczonych
- T-Mobile
- Polowania na nagrody
- Cena dobrego klucza API
- Błąd w procesie autoryzacji w prywatnym interfejsie API
- Starbucks - włamanie, którego nie było
- Podatność BOLA interfejsu GraphQL API w serwisie Instagram
- Podsumowanie
- Włamania
O autorze
O korektorze merytorycznym
Przedmowa
Podziękowania
Wprowadzenie
I. CZYM JEST BEZPIECZEŃSTWO INTERFEJSÓW API?
II. BUDOWANIE LABORATORIUM TESTOWANIA INTERFEJSÓW API
III. ATAKOWANIE INTERFEJSÓW API
IV. HAKOWANIE INTERFEJSÓW API W PRAKTYCE
ZAKOŃCZENIE
A. LISTA KONTROLNA HAKERA
B. DODATKOWE MATERIAŁY
SKOROWIDZ
Helion - inne książki
-
Oto drugie wydanie książki, którą specjaliści CISO uznali za przełomową. Dowiesz się z niej, jak kwantyfikować niepewność i jak za pomocą prostych metod i narzędzi poprawić ocenę ryzyka w nowoczesnych organizacjach. Znalazły się tu nowe techniki modelowania, pomiaru i szacowania, a także mnóstwo ...(60.90 zł najniższa cena z 30 dni)
52.20 zł
87.00 zł(-40%) -
W tej książce omówiono wewnętrzny sposób działania frameworka Kubernetes i pokazano, jak za jego pomocą budować wydajne, niezawodne i odporne na awarie aplikacje natywnej chmury. Dowiesz się, jak kontenery używają przestrzeni nazw w celu izolowania procesów, a także jak korzystają z funkcjonalnoś...(62.30 zł najniższa cena z 30 dni)
53.40 zł
89.00 zł(-40%) -
Jeśli zastanawiasz się nad przekwalifikowaniem i karierą w branży informatycznej albo chcesz poszerzyć swoje umiejętności o programowanie, ale wydaje Ci się ono czarną magią, zapewniamy - w programowaniu nie ma nic z magii. To proces polegający na tworzeniu zbioru instrukcji, dzięki którym komput...(27.93 zł najniższa cena z 30 dni)
23.94 zł
39.90 zł(-40%) -
Ta zwięzła publikacja przyda się profesjonalistom, którzy lubią drobne ulepszenia prowadzące do dużych korzyści. Zrozumiale wyjaśniono w niej, na czym polega proces tworzenia czystego i niezawodnego kodu. W rozsądnej dawce podano zagadnienia teoretyczne, takie jak sprzężenie, kohezja, zdyskontowa...(34.93 zł najniższa cena z 30 dni)
29.94 zł
49.90 zł(-40%) -
Komputery firmy Apple to swojego rodzaju legenda - dla niektórych wybór oczywisty i właściwie jedyny, dla innych zwykła moda nakręcająca popularność, dla części tajemnica. Czy warto ją poznać i przesiąść się z komputera pracującego pod Windowsem lub Linuksem na Macintosha z macOS? Warto, warto, p...(53.40 zł najniższa cena z 30 dni)
53.40 zł
89.00 zł(-40%) -
Dzięki tej książce dowiesz się, jak pozyskiwać, analizować i wizualizować dane, a potem używać ich do rozwiązywania problemów biznesowych. Wystarczy, że znasz podstawy Pythona i matematyki na poziomie liceum, aby zacząć stosować naukę o danych w codziennej pracy. Znajdziesz tu szereg praktycznych...(41.40 zł najniższa cena z 30 dni)
41.40 zł
69.00 zł(-40%) -
Dzięki tej świetnie napisanej, miejscami przezabawnej książce dowiesz się, na czym naprawdę polega testowanie granic bezpieczeństwa fizycznego. To fascynująca relacja o sposobach wynajdywania niedoskonałości zabezpieczeń, stosowania socjotechnik i wykorzystywania słabych stron ludzkiej natury. Wy...(35.40 zł najniższa cena z 30 dni)
35.40 zł
59.00 zł(-40%) -
Książka Java. Teoria w praktyce została pomyślana tak, by krok po kroku przybliżać specyfikę tego języka programowania. Zaczniesz od podstaw - poznasz między innymi główne założenia, zgodnie z którymi działa Java: maszynę wirtualną, zmienne, operatory, instrukcje sterujące i tablice - by następni...(65.40 zł najniższa cena z 30 dni)
65.40 zł
109.00 zł(-40%) -
Ta książka zawiera szereg praktycznych wskazówek dotyczących przygotowania, przeprowadzania i oceniania wyników kontrolowanych eksperymentów online. Dzięki niej nauczysz się stosować naukowe podejście do formułowania założeń i oceny hipotez w testach A/B, dowiesz się także, jak sprawdzać wiarygod...(47.40 zł najniższa cena z 30 dni)
47.40 zł
79.00 zł(-40%) -
Współpraca z ChatGPT wymaga pewnego przygotowania. Niewątpliwą zaletą tej technologii jest to, że można się z nią porozumieć za pomocą języka naturalnego ― takiego, jakim komunikujemy się ze sobą na co dzień. Rzecz w tym, by nauczyć się w odpowiedni sposób zadawać pytania i wydawać poleceni...(29.94 zł najniższa cena z 30 dni)
29.94 zł
49.90 zł(-40%)
Dzieki opcji "Druk na żądanie" do sprzedaży wracają tytuły Grupy Helion, które cieszyły sie dużym zainteresowaniem, a których nakład został wyprzedany.
Dla naszych Czytelników wydrukowaliśmy dodatkową pulę egzemplarzy w technice druku cyfrowego.
Co powinieneś wiedzieć o usłudze "Druk na żądanie":
- usługa obejmuje tylko widoczną poniżej listę tytułów, którą na bieżąco aktualizujemy;
- cena książki może być wyższa od początkowej ceny detalicznej, co jest spowodowane kosztami druku cyfrowego (wyższymi niż koszty tradycyjnego druku offsetowego). Obowiązująca cena jest zawsze podawana na stronie WWW książki;
- zawartość książki wraz z dodatkami (płyta CD, DVD) odpowiada jej pierwotnemu wydaniu i jest w pełni komplementarna;
- usługa nie obejmuje książek w kolorze.
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka, którą chcesz zamówić pochodzi z końcówki nakładu. Oznacza to, że mogą się pojawić drobne defekty (otarcia, rysy, zagięcia).
Co powinieneś wiedzieć o usłudze "Końcówka nakładu":
- usługa obejmuje tylko książki oznaczone tagiem "Końcówka nakładu";
- wady o których mowa powyżej nie podlegają reklamacji;
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka drukowana
Oceny i opinie klientów: Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych Corey J. Ball (2) Weryfikacja opinii następuję na podstawie historii zamówień na koncie Użytkownika umieszczającego opinię. Użytkownik mógł otrzymać punkty za opublikowanie opinii uprawniające do uzyskania rabatu w ramach Programu Punktowego.
(0)
(1)
(0)
(1)
(0)
(0)
więcej opinii