Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych
- Autor:
- Corey J. Ball
- Ocena:
- 4.0/6 Opinie: 2
- Stron:
- 360
- Druk:
- oprawa miękka
- Dostępne formaty:
-
PDFePubMobi
Opis ebooka: Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych
Jeśli najcenniejszym zasobem świata są dane, to interfejsy API można porównać do cyfrowych rurociągów przesyłających cenny towar pomiędzy kontrahentami. Ta technologia, dzięki temu, że umożliwia wymianę danych między różnymi aplikacjami, zmieniła sposób projektowania oprogramowania. API mają jednak bardzo poważną wadę: podatność na ataki. Bardzo często hakerzy traktują je jako otwarte drzwi do cennych danych. A to najkrótsza droga do katastrofy.
Ta książka stanowi przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych. Dzięki niej przygotujesz się do testowania interfejsów, wyszukiwania błędów i zwiększania bezpieczeństwa własnoręcznie napisanych interfejsów. Dowiesz się, jak interfejsy REST API działają w środowisku produkcyjnym i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów: Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Następnie nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych czy typowe słabe punkty interfejsów. Dowiesz się też, jak tworzyć skrypty międzyinterfejsowe, a także jak prowadzić masowe przypisania i wstrzykiwanie danych.
Ta książka to żyła złota dla hakerów interfejsów API!
Chris Roberts, vCISO
Dzięki książce nauczysz się:
- identyfikować użytkowników i punkty końcowe API
- wykrywać nadmierną ekspozycję danych
- atakować proces uwierzytelniania
- wstrzykiwać zapytania NoSQL
- przeprowadzać inżynierię wsteczną interfejsu API
- wykrywać błędy w procedurach biznesowych
Czy już wiesz, jak atakuje prawdziwy wróg?
"Żyła złota dla hakerów interfejsów API".
Chris Roberts, vCISO
Zerwij łańcuchy skuwające internet
Hakowanie interfejsów API to przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych, który przygotuje Cię do testowania interfejsów, wyszukiwania błędów (często nie dostrzeganych przez innych testerów) oraz do zwiększania bezpieczeństwa własnych interfejsów.
Z tego praktycznego przewodnika dowiesz się, jak interfejsy REST API działają w prawdziwym świecie i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Wzbogacony o podstawową wiedzę nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych, typowe słabe punkty interfejsów, podatności na skrypty między interfejsowe, masowe przypisania i wstrzykiwanie danych.
Podczas lektury tej książki poznasz interfejsy API z założenia podatne na ataki i nauczysz się:
- zakłócać interfejsy API w celu identyfikacji użytkowników i punktów końcowych,
- wykrywać nadmierną ekspozycję danych za pomocą programu Postman,
- przeprowadzać ataki na proces uwierzytelniania z wykorzystaniem tokenów JWT,
- łączyć różne techniki ataków w celu wstrzykiwania zapytań NoSQL,
- atakować interfejs GraphQL API i wykrywać wadliwą autoryzację na poziomie obiektu,
- przeprowadzać inżynierię odwrotną interfejsu API za pomocą programu Postman,
- używać funkcjonalności interfejsu API do wykrywania błędów w procedurach biznesowych.
Książkę kończy szczegółowy opis metod omijania rzeczywistych zabezpieczeń i atakowania interfejsów GraphQL API. Poznasz również znalezione przez hakerów luki w interfejsach serwisów Starbucks i Instagram.
Wybrane bestsellery
-
Firmy z branży IT prześcigają się w tworzeniu rozwiązań zwiększających wydajność pracy, jak również podnoszących poziom specjalizacji pracowników w określonych dziedzinach. Od kilku już lat pozycja full stack developera, który wykonywał wszystkie prace programistyczne, jest wielką rzadkością. Obe...
Postman i SQL. Kurs video. Metody testowania REST API i przeszukiwania baz danych Postman i SQL. Kurs video. Metody testowania REST API i przeszukiwania baz danych
(39.90 zł najniższa cena z 30 dni)103.34 zł
159.00 zł(-35%) -
Ten przewodnik, który docenią programiści i architekci, zawiera wyczerpujące omówienie zagadnień projektowania, funkcjonowania i modyfikowania architektury API. Od strony praktycznej przedstawia strategie budowania i testowania API REST umożliwiającego połączenie oferowanej funkcjonalności na poz...
Architektura API. Projektowanie, używanie i rozwijanie systemów opartych na API Architektura API. Projektowanie, używanie i rozwijanie systemów opartych na API
(41.40 zł najniższa cena z 30 dni)44.85 zł
69.00 zł(-35%) -
API to akronim pochodzącego z języka angielskiego terminu application programming interface, co tłumaczy się jako interfejs programowania aplikacji. W praktyce to zestaw zasad i protokołów, które pozwalają różnym programom komunikować się ze sobą. API może być używane do inte...
REST API i Symfony. Kurs video. Nowoczesne aplikacje w PHP REST API i Symfony. Kurs video. Nowoczesne aplikacje w PHP
(39.90 zł najniższa cena z 30 dni)81.95 zł
149.00 zł(-45%) -
W tej książce omówiono techniki wdrażania systemów na platformie AWS i zasady zarządzania nimi. Zaprezentowano podstawy korzystania z usługi Identity and Access Management oraz narzędzia sieciowe i monitorujące chmury AWS. Poruszono tematy Virtual Private Cloud, Elastic Compute Cloud, równoważeni...
AWS dla administratorów systemów. Tworzenie i utrzymywanie niezawodnych aplikacji chmurowych AWS dla administratorów systemów. Tworzenie i utrzymywanie niezawodnych aplikacji chmurowych
(47.40 zł najniższa cena z 30 dni)51.35 zł
79.00 zł(-35%) -
Spring to technologia, która powstała, by ułatwić codzienną pracę programistom tworzącym elastyczne aplikacje. Przez dwadzieścia lat istnienia Spring podbił serca miłośników Javy i stał się najpopularniejszym frameworkiem dla tego języka. Za tak dużą popularnością przemawiają liczne...
Spring i Spring Boot. Kurs video. Aplikacje REST API w praktyce Spring i Spring Boot. Kurs video. Aplikacje REST API w praktyce
(39.90 zł najniższa cena z 30 dni)54.45 zł
99.00 zł(-45%) -
Many organizations today orchestrate and maintain apps that rely on other people's services. Software designers, developers, and architects in those companies often work to coordinate and maintain apps based on existing microservices, including third-party services that run outside their ecosyste...(186.15 zł najniższa cena z 30 dni)
186.15 zł
219.00 zł(-15%) -
Szeroka dostępność Internetu przyczyniła się do stopniowego odchodzenia od przechowywania danych lokalnie i na nośnikach fizycznych. Dziś rozwiązania te są wypierane przez zdalną bazę danych ulokowaną na zewnętrznym serwerze — powszechnie znanym jako chmura. Zmienia się nie tylko zapis plik...
AWS Lambda. Kurs video. Poznaj framework serverless w praktyce AWS Lambda. Kurs video. Poznaj framework serverless w praktyce
(39.90 zł najniższa cena z 30 dni)74.50 zł
149.00 zł(-50%) -
Wiesz, czym jest REST API? Skoro rozpoczynasz przygodę z programowaniem albo jej początki masz już za sobą, pewnie wiesz - a przynajmniej znasz te terminy ze słyszenia. Mimo to przypominamy: API, czyli aplikacyjny interfejs programistyczny, to zestaw reguł określających sposób, w jaki urzą...
REST API i Python. Kurs video. Pracuj z API przy użyciu FastAPI, MongoDB i PyTest REST API i Python. Kurs video. Pracuj z API przy użyciu FastAPI, MongoDB i PyTest
(39.90 zł najniższa cena z 30 dni)81.95 zł
149.00 zł(-45%) -
A lot of work is required to release an API, but the effort doesn't always pay off. Overplanning before an API matures is a wasted investment, while underplanning can lead to disaster. The second edition of this book provides maturity models for individual APIs and multi-API landscapes to help yo...(186.15 zł najniższa cena z 30 dni)
186.15 zł
219.00 zł(-15%) -
Angular to potężne narzędzie służące do budowania różnego rodzaju aplikacji internetowych. Jako technologia frontendowa szczególne wsparcie oferuje osobom przygotowującym interfejsy użytkownika. Tym bardziej że poszczególne komponenty tej platformy naprawdę ułatwiają pracę - na przykład bibliotek...
Angular 11. Kurs video. Poznaj moc tworzenia aplikacji typu SPA Angular 11. Kurs video. Poznaj moc tworzenia aplikacji typu SPA
(39.90 zł najniższa cena z 30 dni)64.50 zł
129.00 zł(-50%)
O autorze ebooka
Corey Ball zajmuje się testami penetracyjnymi w Moss Adams. Od ponad dziesięciu lat specjalizuje się w bezpieczeństwie cybernetycznym w lotnictwie, energetyce, finansach i w administracji państwowej. Posiada certyfikaty branżowe: OSCP, CCISO, CEH, CISA, CISM, CRISC i CGEIT.
Zobacz pozostałe książki z serii No Starch Press
-
Rozwiązanie problemu znajdziesz w tej książce. Została ona napisana specjalnie z myślą o osobach, które administrują małymi sieciami, dysponują niewielkim budżetem i ograniczonym wsparciem profesjonalistów. Dzięki niej zrozumiesz podstawy zabezpieczania łączności sieciowej i poznasz sposoby zabez...
Cyberbezpieczeństwo w małych sieciach. Praktyczny przewodnik dla umiarkowanych paranoików Cyberbezpieczeństwo w małych sieciach. Praktyczny przewodnik dla umiarkowanych paranoików
(40.20 zł najniższa cena z 30 dni)43.55 zł
67.00 zł(-35%) -
To trzecie, zaktualizowane i uzupełnione wydanie bestsellerowego podręcznika programowania w Pythonie. Naukę rozpoczniesz od podstawowych koncepcji programowania. Poznasz takie pojęcia jak zmienne, listy, klasy i pętle, a następnie utrwalisz je dzięki praktycznym ćwiczeniom. Dowiesz się, jak zape...(71.40 zł najniższa cena z 30 dni)
77.35 zł
119.00 zł(-35%) -
Dzięki tej książce zrozumiesz, że w rekurencji nie kryje się żadna magia. Dowiesz się, na czym polega jej działanie i kiedy warto zastosować algorytm rekursywny, a kiedy lepiej tego nie robić. Poznasz szereg klasycznych i mniej znanych algorytmów rekurencyjnych. Pracę z zawartym tu materiałem uła...
Rekurencyjna książka o rekurencji. Zostań mistrzem rozmów kwalifikacyjnych poświęconych językom Python i JavaScript Rekurencyjna książka o rekurencji. Zostań mistrzem rozmów kwalifikacyjnych poświęconych językom Python i JavaScript
(47.40 zł najniższa cena z 30 dni)51.35 zł
79.00 zł(-35%) -
Poznanie języka to jednak dopiero połowa sukcesu. Musisz też wiedzieć, jakie operacje w systemie wykonuje ten język. Do zbadania, jak działa kompilator i co dzieje się za kulisami, w książce tej wykorzystywana jest płytka rozwojowa Nucleo z niewielkim, tanim mikroukładem ARM. Dowiesz się, jak pra...
Język C w programowaniu urządzeń. Praktyczna nauka tworzenia kodu dla systemów wbudowanych Język C w programowaniu urządzeń. Praktyczna nauka tworzenia kodu dla systemów wbudowanych
(52.20 zł najniższa cena z 30 dni)56.55 zł
87.00 zł(-35%) -
Wielu adeptów kodowania ulega złudnemu przekonaniu, że opanowanie jakiegoś języka programowania wystarczy, aby być programistą. Nader często w pośpiechu piszą nieuporządkowany kod, który zawiera mnóstwo powtórzeń i jest kompletnie nieczytelny. Tymczasem prawdziwi mistr...
The Art of Clean Code. Jak eliminować złożoność i pisać czysty kod The Art of Clean Code. Jak eliminować złożoność i pisać czysty kod
(35.40 zł najniższa cena z 30 dni)38.35 zł
59.00 zł(-35%) -
Ta książka jest doskonałym wprowadzeniem do inżynierii społecznej. Omawia koncepcje psychologiczne leżące u podstaw tej dyscypliny i jej aspekty etyczne. Zaprezentowano tu narzędzie ułatwiające korzystanie z technik inżynierii społecznej w atakach socjotechnicznych. Następnie szczegółowo pokazano...
Socjotechniki w praktyce. Podręcznik etycznego hakera Socjotechniki w praktyce. Podręcznik etycznego hakera
(41.40 zł najniższa cena z 30 dni)44.85 zł
69.00 zł(-35%) -
Ta książka powstała z myślą o architektach oprogramowania, projektantach, programistach i dyrektorach do spraw technicznych. Zwięźle i przystępnie opisano w niej, jak zadbać o bezpieczeństwo na wczesnym etapie projektowania oprogramowania i jak zaangażować w ten proces cały team. Najpierw zapreze...
Po pierwsze: bezpieczeństwo. Przewodnik dla twórców oprogramowania Po pierwsze: bezpieczeństwo. Przewodnik dla twórców oprogramowania
(47.40 zł najniższa cena z 30 dni)51.35 zł
79.00 zł(-35%) -
Przeczytasz o tym, jak wykrywać nowe luki w oprogramowaniu, jak tworzyć trojany i rootkity, a także jak używać techniki wstrzykiwania SQL. Zapoznasz się również z szeroką gamą narzędzi do przeprowadzania testów penetracyjnych (takich jak Metasploit Framework, mimikatz i BeEF), rozeznasz się w dzi...
Etyczny haking. Praktyczne wprowadzenie do hakingu Etyczny haking. Praktyczne wprowadzenie do hakingu
(53.40 zł najniższa cena z 30 dni)57.84 zł
89.00 zł(-35%) -
Ta książka jest kompleksowym i praktycznym przewodnikiem po hakowaniu aplikacji internetowych w ramach udziału w programach bug bounty. Znajdziesz w niej wszystkie niezbędne informacje, od budowania relacji z klientami i pisania znakomitych raportów o błędach w zabezpieczeniach po naukę zaawansow...
Bug Bounty Bootcamp. Przewodnik po tropieniu i zgłaszaniu luk w zabezpieczeniach Bug Bounty Bootcamp. Przewodnik po tropieniu i zgłaszaniu luk w zabezpieczeniach
(59.40 zł najniższa cena z 30 dni)64.35 zł
99.00 zł(-35%) -
Wykrywanie śladów niewłaściwego użycia dotyczy maszyn, które zarówno posłużyły do przeprowadzenia ataków, jak i były ich przedmiotem. Obecnie dostępnych jest wiele opracowań poświęconych sposobom działania na miejscu zdarzenia i analizie działających systemów Linux za pomocą poleceń dostępnych po...
Systemy Linux w kryminalistyce. Praktyczny przewodnik dla analityków śledczych Systemy Linux w kryminalistyce. Praktyczny przewodnik dla analityków śledczych
(77.40 zł najniższa cena z 30 dni)83.85 zł
129.00 zł(-35%)
Ebooka "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" przeczytasz na:
-
czytnikach Inkbook, Kindle, Pocketbook, Onyx Boox i innych
-
systemach Windows, MacOS i innych
-
systemach Windows, Android, iOS, HarmonyOS
-
na dowolnych urządzeniach i aplikacjach obsługujących formaty: PDF, EPub, Mobi
Masz pytania? Zajrzyj do zakładki Pomoc »
Audiobooka "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" posłuchasz:
-
w aplikacji Ebookpoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych
-
na dowolnych urządzeniach i aplikacjach obsługujących format MP3 (pliki spakowane w ZIP)
Masz pytania? Zajrzyj do zakładki Pomoc »
Kurs Video "Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych" zobaczysz:
-
w aplikacjach Ebookpoint i Videopoint na Android, iOS, HarmonyOs
-
na systemach Windows, MacOS i innych z dostępem do najnowszej wersji Twojej przeglądarki internetowej
Szczegóły ebooka
- Tytuł oryginału:
- Hacking APIs: Breaking Web Application Programming Interfaces
- Tłumaczenie:
- Andrzej Watrak
- ISBN Książki drukowanej:
- 978-83-832-2408-4, 9788383224084
- Data wydania książki drukowanej:
- 2023-08-16
- ISBN Ebooka:
- 978-83-832-2409-1, 9788383224091
- Data wydania ebooka:
- 2023-08-16 Data wydania ebooka często jest dniem wprowadzenia tytułu do sprzedaży i może nie być równoznaczna z datą wydania książki papierowej. Dodatkowe informacje możesz znaleźć w darmowym fragmencie. Jeśli masz wątpliwości skontaktuj się z nami sklep@ebookpoint.pl.
- Format:
- 165x228
- Numer z katalogu:
- 199038
- Rozmiar pliku Pdf:
- 8.5MB
- Rozmiar pliku ePub:
- 14.2MB
- Rozmiar pliku Mobi:
- 25.2MB
- Pobierz przykładowy rozdział PDF
- Zgłoś erratę
- Serie wydawnicze: No Starch Press
Spis treści ebooka
- 0. PRZYGOTOWANIE TESTÓW BEZPIECZEŃSTWA
- Uzyskanie upoważnienia
- Modelowanie zagrożeń przed testem interfejsu API
- Jakie cechy interfejsu API należy testować?
- Testy mechanizmów uwierzytelniania
- Zapory WAF
- Testy aplikacji mobilnych
- Audyt dokumentacji interfejsu API
- Testy limitu zapytań
- Ograniczenia i wykluczenia
- Testy chmurowych interfejsów API
- Testy odporności na ataki DoS
- Raportowanie i testowanie środków zaradczych
- Uwaga dotycząca programów dla łowców nagród
- Podsumowanie
- 1. JAK DZIAŁAJĄ APLIKACJE INTERNETOWE?
- Podstawy aplikacji internetowych
- Adres URL
- Zapytania HTTP
- Odpowiedzi HTTP
- Kody stanu HTTP
- Metody HTTP
- Połączenia stanowe i bezstanowe
- Bazy danych w aplikacjach internetowych
- Relacyjne bazy danych
- Nierelacyjne bazy danych
- Miejsce interfejsów API
- Podsumowanie
- Podstawy aplikacji internetowych
- 2. ANATOMIA INTERFEJSU API
- Jak działają internetowe interfejsy API?
- Typy internetowych interfejsów API
- REST
- GraphQL
- Specyfikacje REST API
- Formaty wymiany danych
- JSON
- XML
- YAML
- Uwierzytelnianie
- Podstawowe uwierzytelnienie
- Klucze API
- Tokeny JWT
- HMAC
- OAuth 2.0
- Brak uwierzytelnienia
- Praktyczne ćwiczenie: badanie interfejsu API Twittera
- Podsumowanie
- 3. TYPOWE PODATNOŚCI INTERFEJSÓW API
- Wycieki informacji
- Wadliwa autoryzacja na poziomie obiektu
- Wadliwa autoryzacja użytkownika
- Nadmierna ekspozycja danych
- Brak zasobów i limitu zapytań
- Wadliwa autoryzacja na poziomie funkcji
- Przypisanie masowe
- Błędna konfiguracja zabezpieczeń
- Wstrzykiwanie danych
- Niewłaściwe zarządzanie zasobami
- Błędy w procedurach biznesowych
- Podsumowanie
- 4. TWÓJ SYSTEM HAKERSKI
- Kali Linux
- Analiza aplikacji internetowych za pomocą DevTools
- Przechwytywanie i modyfikowanie zapytań za pomocą Burp Suite
- Konfiguracja FoxyProxy
- Instalacja certyfikatu Burp Suite
- Korzystanie z programu Burp Suite
- Przechwytywanie komunikacji
- Modyfikowanie zapytań za pomocą modułu Intruder
- Wysyłanie zapytań za pomocą programu Postman
- Edytor zapytań
- Środowisko
- Kolekcja
- Wysyłanie kolekcji zapytań
- Generowanie kodu
- Testy
- Integracja programów Postman i Burp Suite
- Dodatkowe narzędzia
- Przeprowadzanie rekonesansu za pomocą narzędzia OWASP Amass
- Wykrywanie punktów końcowych za pomocą programu Kiterunner
- Wykrywanie podatności za pomocą Nikto
- Wykrywanie podatności za pomocą OWASP ZAP
- Zakłócanie za pomocą Wfuzz
- Wykrywanie parametrów zapytań za pomocą Arjun
- Podsumowanie
- Ćwiczenie 1. Zliczenie kont użytkowników interfejsu API
- 5. PRZYGOTOWANIE PODATNYCH INTERFEJSÓW API
- Utworzenie hosta z systemem Linux
- Instalacja środowisk Docker i Docker Compose
- Instalacja podatnych aplikacji
- crAPI
- Pixi
- Juice Shop
- DVGA
- Inne podatne aplikacje
- Hakowanie interfejsów API w serwisach TryHackMe i HackTheBox
- Podsumowanie
- Ćwiczenie 2. Wyszukanie podatnych na ataki interfejsów API
- 6. ODKRYWANIE INTERFEJSÓW API
- Rekonesans pasywny
- Proces rekonesansu pasywnego
- Hakowanie za pomocą Google
- Katalog interfejsów API - ProgrammableWeb
- Shodan
- OWASP Amass
- Informacje eksponowane w serwisie GitHub
- Rekonesans aktywny
- Proces rekonesansu aktywnego
- Ogólne skanowanie za pomocą Nmap
- Wyszukiwanie ukrytych ścieżek w pliku robots.txt
- Wyszukiwanie poufnych informacji za pomocą Chrome DevTools
- Weryfikacja interfejsu API za pomocą Burp Suite
- Skanowanie identyfikatorów URI za pomocą OWASP ZAP
- Wyszukiwanie identyfikatorów URI metodą brutalnej siły za pomocą programu Gobuster
- Wykrywanie zasobów interfejsów API za pomocą narzędzia Kiterunner
- Podsumowanie
- Ćwiczenie 3. Rekonesans aktywny w teście czarnej skrzynki
- Rekonesans pasywny
- 7. ANALIZA PUNKTÓW KOŃCOWYCH
- Pozyskiwanie informacji o zapytaniach
- Wyszukiwanie informacji w dokumentacji
- Import specyfikacji interfejsu API
- Inżynieria odwrotna interfejsu API
- Konfiguracja uwierzytelnienia w programie Postman
- Analiza funkcjonalności interfejsu
- Testowanie interfejsu zgodnie z przeznaczeniem
- Wykonywanie operacji jako uwierzytelniony użytkownik
- Analiza odpowiedzi
- Wyszukiwanie wycieków informacji
- Wyszukiwanie błędów w konfiguracji zabezpieczeń
- Szczegółowe komunikaty o błędach
- Słabe algorytmy szyfrowania
- Problematyczna konfiguracja
- Wyszukiwanie nadmiernej ekspozycji danych
- Wyszukiwanie błędów w procedurach biznesowych
- Podsumowanie
- Ćwiczenie 4. Utworzenie kolekcji crAPI i identyfikacja nadmiernej ekspozycji danych
- Pozyskiwanie informacji o zapytaniach
- 8. ATAKOWANIE PROCESU UWIERZYTELNIANIA UŻYTKOWNIKÓW
- Typowe ataki na procesy uwierzytelniania użytkowników
- Łamanie poświadczeń metodą brutalnej siły
- Reset hasła i atakowanie procesu uwierzytelnienia wieloskładnikowego metodą brutalnej siły
- Rozpylanie haseł
- Kodowanie Base64 w atakach metodą brutalnej siły
- Fałszowanie tokenów
- Analiza ręcznie załadowanej listy tokenów
- Analiza przechwytywanych tokenów
- Generowanie prawdopodobnych tokenów
- Łamanie tokenów JWT
- Identyfikacja i analiza tokenów JWT
- Eliminacja algorytmu kodowania
- Podmiana algorytmu
- Łamanie tokenu JWT
- Podsumowanie
- Ćwiczenie 5. Łamanie podpisu tokenu JWT w aplikacji crAPI
- Typowe ataki na procesy uwierzytelniania użytkowników
- 9. ZAKŁÓCANIE INTERFEJSU API
- Skuteczne zakłócanie interfejsów API
- Dobór ładunków zakłócających
- Wykrywanie anomalii
- Zakłócanie interfejsu wszerz i w głąb
- Zakłócanie interfejsu wszerz za pomocą programu Postman
- Zakłócanie interfejsu w głąb za pomocą programu Burp Suite
- Zakłócanie interfejsu w głąb za pomocą programu Wfuzz
- Zakłócanie interfejsu wszerz i identyfikowanie niewłaściwego zarządzania zasobami
- Testowanie metod HTTP za pomocą programu Wfuzz
- Głębsze zakłócanie interfejsu i omijanie weryfikacji danych wejściowych
- Zakłócanie interfejsu i przełączanie katalogów
- Podsumowanie
- Ćwiczenie 6. Zakłócanie interfejsu wszerz i niewłaściwe zarządzanie zasobami
- Skuteczne zakłócanie interfejsów API
- 10. EKSPLORACJA PROCESU AUTORYZACJI UŻYTKOWNIKÓW
- Identyfikacja podatności BOLA
- Określenie identyfikatora zasobu
- Test A-B podatności BOLA
- Test podatności BOLA z użyciem kanału bocznego
- Identyfikacja podatności BFLA
- Test A-B-A podatności BFLA
- Testowanie podatności BFLA za pomocą programu Postman
- Wskazówki dotyczące hakowania procesu autoryzacji
- Zmienne kolekcji w programie Postman
- Wyszukiwanie i zmienianie zapytań w programie Burp Suite
- Podsumowanie
- Ćwiczenie 7. Lokalizacja pojazdu innego użytkownika
- Identyfikacja podatności BOLA
- 11. PRZYPISANIE MASOWE
- Identyfikowanie przypisania masowego
- Rejestrowanie konta
- Nieautoryzowany dostęp do zasobów innej organizacji
- Identyfikacja kluczy
- Wyszukiwanie kluczy w dokumentacji
- Zakłócanie niezrozumiałych kluczy
- Losowe testowanie podatności na przypisanie masowe
- Testowanie podatności na przypisanie masowe za pomocą programów Arjun i Burp Suite Intruder
- Test podatności BFLA i przypisania masowego
- Podsumowanie
- Ćwiczenie 8. Modyfikacja ceny produktu w sklepie internetowym
- Identyfikowanie przypisania masowego
- 12. WSTRZYKIWANIE DANYCH
- Identyfikacja podatności na wstrzykiwanie danych
- Skrypty międzydomenowe (XSS)
- Skrypty międzyinterfejsowe (XAS)
- Wstrzykiwanie zapytań SQL
- Specjalne ciągi znaków w zapytaniach SQL
- SQLmap
- Wstrzykiwanie zapytań NoSQL
- Wstrzykiwanie poleceń systemu operacyjnego
- Podsumowanie
- Ćwiczenie 9. Wyłudzanie kuponów poprzez wstrzykiwanie zapytań NoSQL
- 13. OMIJANIE ZABEZPIECZEŃ I TESTOWANIE LIMITU ZAPYTAŃ
- Omijanie mechanizmów ochrony
- Jak funkcjonuje mechanizm ochrony?
- Wykrywanie mechanizmów ochrony
- Fikcyjne konta
- Techniki uników
- Omijanie zabezpieczeń za pomocą programu Burp Suite
- Omijanie zabezpieczeń za pomocą programu Wfuzz
- Testowanie limitu zapytań
- Przestrzeganie łagodnych limitów
- Modyfikacja ścieżki URL
- Fałszowanie nagłówka pochodzenia
- Rotacja adresów IP w Burp Suite
- Podsumowanie
- Omijanie mechanizmów ochrony
- 14. ATAKOWANIE INTERFEJSU GRAPHQL API
- Zapytania GraphQL i środowisko IDE
- Aktywny rekonesans aplikacji DVGA
- Skanowanie
- Badanie za pomocą przeglądarki
- Badanie za pomocą narzędzi DevTools
- Inżynieria odwrotna interfejsu GraphQL API
- Identyfikacja punktu końcowego metodą brutalnej siły
- Modyfikacja nagłówka w celu uzyskania dostępu do środowiska GraphiQL
- Inżynieria odwrotna interfejsu GraphQL API
- Inżynieria odwrotna interfejsu przy użyciu zapytania introspekcyjnego
- Analiza interfejsu GraphQL API
- Tworzenie zapytań za pomocą eksploratora dokumentacji
- Rozszerzenie InQL programu Burp Suite
- Zakłócanie i wstrzykiwanie poleceń
- Podsumowanie
- 15. WŁAMANIA DO INTERFEJSÓW API I POLOWANIA NA NAGRODYWłamania do interfejsów API i polowania na nagrody
- Włamania
- Peloton
- Poczta Stanów Zjednoczonych
- T-Mobile
- Polowania na nagrody
- Cena dobrego klucza API
- Błąd w procesie autoryzacji w prywatnym interfejsie API
- Starbucks - włamanie, którego nie było
- Podatność BOLA interfejsu GraphQL API w serwisie Instagram
- Podsumowanie
- Włamania
O autorze
O korektorze merytorycznym
Przedmowa
Podziękowania
Wprowadzenie
I. CZYM JEST BEZPIECZEŃSTWO INTERFEJSÓW API?
II. BUDOWANIE LABORATORIUM TESTOWANIA INTERFEJSÓW API
III. ATAKOWANIE INTERFEJSÓW API
IV. HAKOWANIE INTERFEJSÓW API W PRAKTYCE
ZAKOŃCZENIE
A. LISTA KONTROLNA HAKERA
B. DODATKOWE MATERIAŁY
SKOROWIDZ
Helion - inne książki
-
ChatGPT wywołał wstrząs w branży technologicznej. Programiści i wynalazcy otrzymali niesamowite możliwości dostępne na wyciągnięcie ręki. Interfejs API OpenAI i towarzyszące mu biblioteki stanowią gotowe rozwiązanie dla każdego twórcy aplikacji opartych na sztucznej inteligencji. Programista za p...
Tworzenie aplikacji z wykorzystaniem GPT-4 i ChatGPT. Buduj inteligentne chatboty, generatory treści i fascynujące projekty Tworzenie aplikacji z wykorzystaniem GPT-4 i ChatGPT. Buduj inteligentne chatboty, generatory treści i fascynujące projekty
(35.40 zł najniższa cena z 30 dni)38.35 zł
59.00 zł(-35%) -
Ta książka pomoże Ci się przygotować do pracy na stanowisku testera oprogramowania, a także zapewni wsparcie podczas wykonywania nowych zadań. Znajdziesz tu dokładne omówienie podstaw testowania, jego różnych rodzajów i poziomów w odniesieniu do zastosowania na różnych etapach pracy nad projektem...
Tester samouk. Praktyczny przewodnik po testowaniu oprogramowania na bazie gotowego projektu Tester samouk. Praktyczny przewodnik po testowaniu oprogramowania na bazie gotowego projektu
(35.40 zł najniższa cena z 30 dni)38.35 zł
59.00 zł(-35%) -
Czym jest inżynieria wymagań? To systematyczne podejście do pozyskiwania i dokumentowania wymagań, a także zarządzania nimi. Polega na zrozumieniu potrzeb i oczekiwań interesariuszy, a następnie opisaniu, za pomocą wymagań, systemu, który je spełnia.
Certyfikowany inżynier wymagań. Na podstawie IREB CPRE. Poziom podstawowy Certyfikowany inżynier wymagań. Na podstawie IREB CPRE. Poziom podstawowy
(41.40 zł najniższa cena z 30 dni)44.85 zł
69.00 zł(-35%) -
Dzięki tej książce nauczysz się gromadzić publicznie dostępne informacje, korzystać z wiedzy o cyklu życia wrażliwych danych i przekształcać je w informacje wywiadowcze przydatne dla zespołów zajmujących się bezpieczeństwem. Opanujesz proces gromadzenia i analizy danych, poznasz również strategie...
Prawdziwa głębia OSINT. Odkryj wartość danych Open Source Intelligence Prawdziwa głębia OSINT. Odkryj wartość danych Open Source Intelligence
(59.40 zł najniższa cena z 30 dni)64.35 zł
99.00 zł(-35%) -
Oto kompleksowe omówienie sposobów wdrażania najnowszych dostępnych środków zabezpieczających systemy linuksowe. Z książki dowiesz się, jak skonfigurować laboratorium do ćwiczeń praktycznych, tworzyć konta użytkowników z odpowiednimi poziomami uprawnień, chronić dane dzięki uprawnieniom i szyfrow...
Bezpieczeństwo systemu Linux. Hardening i najnowsze techniki zabezpieczania przed cyberatakami. Wydanie III Bezpieczeństwo systemu Linux. Hardening i najnowsze techniki zabezpieczania przed cyberatakami. Wydanie III
(77.40 zł najniższa cena z 30 dni)83.85 zł
129.00 zł(-35%) -
To dziewiąte wydanie znakomitego podręcznika programowania dla początkujących, starannie zaktualizowane i uzupełnione o informacje dotyczące Java Platform, Standard Edition 17. Książka rozpoczyna się od solidnej dawki wiedzy o kompilacji i uruchamianiu programu w Javie, słowach kluczowych i istot...(77.40 zł najniższa cena z 30 dni)
83.85 zł
129.00 zł(-35%) -
Jesteś specjalistą IT. I jesteś dobry w tym, co robisz. Masz wiedzę, doświadczenie, chcesz się nimi podzielić z innymi, pomóc im radzić sobie z problemami, które sam już dawno rozwiązałeś, może także zaprezentować się od tej strony przyszłym pracodawcom i zleceniodawcom, tylko... kto - poza Tobą ...
Marka osobista w branży IT. Jak ją zbudować i rozwijać Marka osobista w branży IT. Jak ją zbudować i rozwijać
(29.94 zł najniższa cena z 30 dni)32.43 zł
49.90 zł(-35%) -
MikroTik, łotewska firma z siedzibą w Rydze, od lat produkuje sprzęt sieciowy. Przystępna cena i świetna jakość sprawiły, że urządzenia sygnowane logo MikroTik zdobyły niezwykłą popularność - po produkty łotewskiej marki sięga się coraz częściej. Jeśli planujesz zmodernizować lub zbudować sieć i ...
Konfiguracja usług sieciowych na urządzeniach MikroTik Konfiguracja usług sieciowych na urządzeniach MikroTik
(47.40 zł najniższa cena z 30 dni)51.35 zł
79.00 zł(-35%) -
To drugie, zaktualizowane wydanie przewodnika po systemie Prometheus. Znajdziesz w nim wyczerpujące wprowadzenie do tego oprogramowania, a także wskazówki dotyczące monitorowania aplikacji i infrastruktury, tworzenia wykresów, przekazywania ostrzeżeń, bezpośredniej instrumentacji kodu i pobierani...
Prometheus w pełnej gotowości. Jak monitorować pracę infrastruktury i wydajność działania aplikacji. Wydanie II Prometheus w pełnej gotowości. Jak monitorować pracę infrastruktury i wydajność działania aplikacji. Wydanie II
(53.40 zł najniższa cena z 30 dni)57.84 zł
89.00 zł(-35%) -
Dzięki tej książce zrozumiesz bazowe koncepcje programowania funkcyjnego i przekonasz się, że możesz włączać je do kodu bez rezygnacji z paradygmatu obiektowego. Dowiesz się również, kiedy w swojej codziennej pracy używać takich opcji jak niemutowalność i funkcje czyste i dlaczego warto to robić....
Java. Podejście funkcyjne. Rozszerzanie obiektowego kodu Javy o zasady programowania funkcyjnego Java. Podejście funkcyjne. Rozszerzanie obiektowego kodu Javy o zasady programowania funkcyjnego
(52.20 zł najniższa cena z 30 dni)56.55 zł
87.00 zł(-35%)
Dzieki opcji "Druk na żądanie" do sprzedaży wracają tytuły Grupy Helion, które cieszyły sie dużym zainteresowaniem, a których nakład został wyprzedany.
Dla naszych Czytelników wydrukowaliśmy dodatkową pulę egzemplarzy w technice druku cyfrowego.
Co powinieneś wiedzieć o usłudze "Druk na żądanie":
- usługa obejmuje tylko widoczną poniżej listę tytułów, którą na bieżąco aktualizujemy;
- cena książki może być wyższa od początkowej ceny detalicznej, co jest spowodowane kosztami druku cyfrowego (wyższymi niż koszty tradycyjnego druku offsetowego). Obowiązująca cena jest zawsze podawana na stronie WWW książki;
- zawartość książki wraz z dodatkami (płyta CD, DVD) odpowiada jej pierwotnemu wydaniu i jest w pełni komplementarna;
- usługa nie obejmuje książek w kolorze.
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka, którą chcesz zamówić pochodzi z końcówki nakładu. Oznacza to, że mogą się pojawić drobne defekty (otarcia, rysy, zagięcia).
Co powinieneś wiedzieć o usłudze "Końcówka nakładu":
- usługa obejmuje tylko książki oznaczone tagiem "Końcówka nakładu";
- wady o których mowa powyżej nie podlegają reklamacji;
Masz pytanie o konkretny tytuł? Napisz do nas: sklep[at]helion.pl.
Książka drukowana
Oceny i opinie klientów: Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych Corey J. Ball (2) Weryfikacja opinii następuję na podstawie historii zamówień na koncie Użytkownika umieszczającego opinię. Użytkownik mógł otrzymać punkty za opublikowanie opinii uprawniające do uzyskania rabatu w ramach Programu Punktowego.
(0)
(1)
(0)
(1)
(0)
(0)
więcej opinii