資安人員與開發人員必須知道的API弱點

「這是一本關於API漏洞攻擊的重要礦脈。」
-Chris Roberts, Vciso

破解和網際網路緊密相連的功能鏈

本書提供Web API安全測試的速成課程，讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷，並讓自己的API更加安全。

這是一本實作導向的教材，一開始會先訴告你有關真實世界裡的REST API之工作模式，以及它們所面臨的安全問題，接著教你如何建置一套簡化的API測試環境，以及Burp Suite、Postman和其他測試工具(如：Kiterunner和OWASP Amass)，這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後，便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。

研讀本書的過程中，讀者有機會攻擊特意安排的API漏洞，並學到下列技巧：
‧使用模糊測試技術枚舉API的使用者資訊和端點
‧利用Postman探索資料過度暴露的漏洞
‧針對API身分驗證過程執行JSON Web Token攻擊
‧結合多種API攻擊技巧來實現NoSQL注入
‧攻擊GraphQL API以找出不當的物件級授權漏洞
‧學習使用Postman對API進行逆向工程
‧從API提供的功能找出程式邏輯缺失

本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法，以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。