Привет, Хаброжители! Я хочу рассказать вам о новинке издательства Spint Book. Наконец «Хакинг API» (Hacking APIs: Breaking Web Application Programming Interfaces) можно прочитать на русском языке. Ищите книгу на Озоне или Вайлдберриз. В Казахстане она уже есть на Флипе (https://www.flip.kz/catalog?prod=5435595)

Пройдите экспресс-курс по тестированию безопасности веб-API. Взламывайте API, ищите уязвимости, которые часто упускают даже опытные специалисты, и обеспечивайте безопасность ваших собственных API.

Сначала вы разберетесь, как на самом деле работают REST API и какие уязвимости для них наиболее характерны. Затем создадите эффективную среду тестирования API с помощью Burp Suite, Postman, Kiterunner, OWASP Amass и других инструментов, предназначенных для разведки, анализа и тестирования защищенности конечных точек. Затем, вооруженные этими знаниями, научитесь проводить самые популярные виды атак для взлома механизмов аутентификации, искать ошибки в бизнес-логике и выявлять специфические слабые места API. Узнаете, что такое межсайтовый скриптинг и массовое переназначение параметров, а также какие уязвимости, связанные с инъекцией кода, часто встречаются в веб-приложениях.

• используйте фаззинг для получения списка пользователей и конечных точек API;

• выявляйте уязвимости избыточного раскрытия данных с помощью Postman;

• проверяйте безопасность процесса аутентификации в API с использованием JSON Web Token;

• комбинируйте различные виды атак для проверки устойчивости API к NoSQL-инъекциям;

• отыскивайте уязвимости авторизации на уровне объекта (BOLA) в GraphQL API;

• выполняйте реверс-инжиниринг API с помощью Postman;

• выявляйте уязвимости бизнес-логики при взаимодействии с API.

Автор подробно разбирает способы обхода реальных средств защиты API и методы нападения на GraphQL, а также приводит подборку реальных уязвимостей, обнаруженных хакерами в таких сервисах, как Starbucks и Instagram (запрещен в России, принадлежит Meta, признанной в РФ экстремистской).

«УНИКАЛЬНОЕ РУКОВОДСТВО ПО ВЗЛОМУ API ».
— КРИС РОБЕРТС, VC I SO

Об авторе и научном редакторе:

Кори Джей Болл (автор)

менеджер-консультант по кибербезопасности в компании Moss Adams. Возглавляет отдел пентестирования и имеет более десяти лет опыта работы в сфере ИТ и кибербезопасности. Работал в самых разных отраслях: от аэрокосмической промышленности и агробизнеса до энергетики, финтеха, государственного сектора и здравоохранения. Окончил Университет штата Калифорния в Сакраменто, получив два диплома бакалавра — по английскому языку и философии. Кроме того, имеет профессиональные сертификаты OSCP, CCISO, CEH, CISA, CISM, CRISC и CGEIT.

Алекс Рифман (редактор русского издания)

эксперт в области информационной безопасности, специализируется на стратегиях выстраивания защиты, реагировании на инциденты и их устранении, анализе угроз и управлении рисками. В настоящее время занимает должность руководителя отдела по работе с клиентами в компании APIsec, специализирующейся на защите API, где помогает заказчикам обеспечивать безопасность их интерфейсов.

Приобрести книгу «Хакинг API: взлом программных интерфейсов веб-приложений» можно на Ozon и Wildberries.