Bezpiecze - Helion

ebook
Autor: Confidence Staveley, Christopher Romeo Tytuł oryginału: API Security for White Hat Hackers: Uncover offensive defense strategies and get up to speed with secure API implementation
Tłumaczenie: Piotr Pilch
ISBN: 978-83-289-2304-1
stron: 408, Format: ebook
Księgarnia: Helion
Cena książki: 99,00 zł
Książka będzie dostępna od maja 2025
Tagi: API
S
Zobacz także:
- Platforma Xamarin. Kurs video. Poziom drugi. Zaawansowane techniki tworzenia aplikacji cross-platform 99,00 zł, (39,60 zł -60%)
- Angular 11. Kurs video. Poznaj moc tworzenia aplikacji typu SPA 129,00 zł, (58,05 zł -55%)
- OpenGL. Kurs video. Wprowadzenie do programowania grafiki komputerowej 99,00 zł, (44,55 zł -55%)
- Tao mikrousług. Projektowanie i wdrażanie 58,98 zł, (29,49 zł -50%)
- Facebook Graph API. Tworzenie rozbudowanych rozwiązań we Flashu 47,00 zł, (23,50 zł -50%)
Spis treści
Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API eBook -- spis treści
O autorce
O recenzentach
Słowo wstępne
Przedmowa
- Dla kogo przeznaczona jest ta książka?
- Zawartość książki
- Jak najlepiej korzystać z książki?
- Pobieranie plików z przykładowym kodem
- Konwencje
Część 1. Podstawy zabezpieczeń interfejsów API
- Rozdział 1. Wprowadzenie do architektury i zabezpieczeń interfejsów API
- Interfejsy API i ich rola w nowoczesnych aplikacjach
- Jak działają interfejsy API?
- Wykorzystanie interfejsów API w nowoczesnych aplikacjach - zalety i korzyści
- Użycie interfejsów API w rzeczywistych przykładach biznesowych
- Przegląd zabezpieczeń interfejsów API
- Dlaczego bezpieczeństwo interfejsów API jest tak istotne?
- Podstawowe komponenty architektury interfejsów API i protokoły komunikacji
- Typy interfejsów API i ich zalety
- Typowe protokoły komunikacyjne i kwestie bezpieczeństwa
- Podsumowanie
- Dodatkowe źródła informacji
- Interfejsy API i ich rola w nowoczesnych aplikacjach
- Rozdział 2. Ewolucja krajobrazu zagrożeń dotyczących interfejsów API i kwestie bezpieczeństwa
- Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
- Początki interfejsów API
- Powstanie Internetu i sieciowych interfejsów API
- Pojawienie się stylu architektury REST i nowoczesnych interfejsów API
- Era mikrousług, urządzeń IoT i przetwarzania w chmurze
- Współczesny krajobraz zagrożeń związanych z interfejsami API
- Kluczowe kwestie dotyczące bezpieczeństwa interfejsów API w powiększającym się ekosystemie
- Nowe trendy w zakresie bezpieczeństwa interfejsów API
- Architektura zerowego zaufania trust w zabezpieczeniach interfejsów API
- Wykorzystanie technologii blockchain do wzmocnienia bezpieczeństwa interfejsów API
- Pojawienie się ataków zautomatyzowanych i botów
- Kryptografia postkwantowa w zabezpieczeniach interfejsów API
- Bezpieczeństwo architektury bezserwerowej w kontekście bezpieczeństwa interfejsów API
- Analityka behawioralna i profilowanie zachowań użytkowników w kontekście bezpieczeństwa interfejsów API
- Wnioski z rzeczywistych naruszeń danych przez interfejsy API
- Naruszenie danych firmy Uber (2016 r.)
- Naruszenie danych firmy Equifax (2017 r.)
- Naruszenie danych firmy MyFitnessPal (2018 r.)
- Skandal związany z firmami Facebook i Cambridge Analytica (2018 r.)
- Podsumowanie
- Dodatkowe źródła informacji
- Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
- Rozdział 3. Objaśnienie 10 największych zagrożeń dotyczących bezpieczeństwa interfejsów API (według organizacji OWASP)
- Fundacja OWASP i zestawienie API Security Top 10 - oś czasu
- Analiza zestawienia OWASP API Security Top 10
- OWASP API 1 - naruszenie autoryzacji na poziomie obiektu
- OWASP API 2 - naruszenie uwierzytelniania
- OWASP API 3 - naruszenie autoryzacji na poziomie właściwości obiektu
- OWASP API 4 - nieograniczone wykorzystanie zasobów
- OWASP API 5 - naruszenie autoryzacji na poziomie funkcji
- OWASP API 6 - nieograniczony dostęp do poufnych procesów biznesowych
- OWASP API 7 - fałszowanie żądań po stronie serwera
- OWASP API 8 - błędna konfiguracja zabezpieczeń
- OWASP API 9 - niewłaściwe zarządzanie magazynem
- OWASP API 10 - niezabezpieczone korzystanie z interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
Część 2. Ofensywne naruszanie zabezpieczeń interfejsów API
- Rozdział 4. Strategie i taktyki ataków dotyczących interfejsów API
- Wymagania techniczne
- Testowanie zabezpieczeń interfejsów API - przegląd niezbędnego zestawu narzędzi
- Przegląd i konfiguracja systemu Kali Linux na maszynie wirtualnej
- Przeglądarka jako narzędzie do testowania bezpieczeństwa interfejsów API
- Korzystanie z pakietu Burp Suite i ustawienia usługi proxy
- Omówienie narzędzi pakietu Burp Suite
- Konfiguracja rozszerzenia FoxyProxy dla przeglądarki Firefox
- Konfiguracja certyfikatów pakietu Burp Suite
- Eksploracja funkcji usługi proxy pakietu Burp Suite
- Konfiguracja narzędzia Postman do testowania interfejsów API i przechwytywanie ruchu za pomocą pakietu Burp Suite
- Kolekcje narzędzia Postman
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 5. Wykorzystanie luk w interfejsach API
- Wymagania techniczne
- Wektory ataku dotyczącego interfejsów API
- Typy wektorów ataku
- Ataki z wstrzykiwaniem i danymi losowymi na interfejsy API
- Ataki z danymi losowymi
- Ataki ze wstrzykiwaniem
- Wykorzystywanie luk w interfejsach API związanych z uwierzytelnianiem i autoryzacją
- Ataki siłowe na hasła
- Ataki z użyciem tokenów JWT
- Podsumowanie
- Rozdział 6. Omijanie elementów kontroli uwierzytelniania i autoryzacji interfejsów API
- Wymagania techniczne
- Wprowadzenie do elementów kontroli uwierzytelniania i autoryzacji w interfejsach API
- Typowe metody uwierzytelniania i autoryzacji w interfejsach API
- Omijanie elementów kontroli uwierzytelniania użytkowników
- Omijanie elementów kontroli uwierzytelniania opartego na tokenach
- Omijanie elementów kontroli uwierzytelniania opartego na kluczach interfejsu API
- Omijanie elementów kontroli dostępu opartych na rolach i atrybutach
- Przykłady rzeczywistych ataków z omijaniem zabezpieczeń interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 7. Ataki oparte na technikach weryfikacji danych wejściowych oraz szyfrowania w interfejsach API
- Wymagania techniczne
- Elementy kontrolne weryfikacji poprawności danych wejściowych w interfejsach API
- Techniki omijania elementów kontrolnych weryfikacji poprawności danych w interfejsach API
- Wstrzykiwanie kodu SQL
- Ataki XSS
- Ataki z użyciem danych XML
- Wprowadzenie do mechanizmów szyfrowania i odszyfrowywania w interfejsach API
- Techniki unikania mechanizmów szyfrowania i odszyfrowywania interfejsów API
- Studium przypadków, czyli rzeczywiste przykłady ataków dotyczących szyfrowania w interfejsach API
- Podsumowanie
- Dodatkowe źródła informacji
Część 3. Zaawansowane techniki testowania i naruszania zabezpieczeń interfejsów API
- Rozdział 8. Testy penetracyjne i ocena podatności interfejsów API
- Znaczenie oceny podatności interfejsów API
- Rekonesans i footprinting interfejsów API
- Techniki rekonesansu i footprintingu interfejsów API
- Skanowanie i wyliczanie elementów interfejsów API
- Techniki skanowania i wyliczania interfejsów API
- Techniki wykorzystania podatności interfejsów API w trakcie ataku i po nim
- Techniki wykorzystania
- Techniki wykorzystania po dokonaniu ataku
- Najlepsze praktyki dotyczące oceny podatności interfejsów API oraz testów penetracyjnych
- Tworzenie raportów dotyczących podatności interfejsu API oraz ich łagodzenie
- Przyszłość testów penetracyjnych i oceny podatności interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 9. Zaawansowane testowanie interfejsów API: metody, narzędzia i środowiska
- Wymagania techniczne
- Zautomatyzowane testowanie interfejsów API z wykorzystaniem sztucznej inteligencji
- Specjalistyczne narzędzia i środowiska używane do testowania interfejsów API z wykorzystaniem sztucznej inteligencji
- Inne oparte na sztucznej inteligencji narzędzia do automatyzacji zabezpieczeń
- Testowanie interfejsów API na dużą skalę z użyciem żądań równoległych
- Gatling
- Sposób użycia narzędzia Gatling do testowania interfejsów API na dużą skalę z wykorzystaniem żądań równoległych
- Zaawansowane techniki pozyskiwania danych z interfejsów API
- Stronicowanie
- Ograniczanie liczby żądań
- Uwierzytelnianie
- Zawartość dynamiczna
- Zaawansowane techniki wprowadzania danych losowych związane z testowaniem interfejsów API
- AFL
- Przykład zastosowania
- Środowiska testowania interfejsów API
- Środowisko RestAssured
- Środowisko WireMock
- Środowisko Postman
- Środowisko Karate DSL
- Środowisko Citrus
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 10. Wykorzystanie technik obchodzenia
- Wymagania techniczne
- Techniki zaciemniania kodu w interfejsach API
- Zaciemnianie przepływu sterowania
- Podział kodu
- Wstrzykiwanie "martwego" kodu
- Nadmierne wykorzystanie zasobów
- Techniki wstrzykiwania kodu służące do unikania wykrycia
- Zanieczyszczanie parametrów
- Wstrzykiwanie bajtów zerowych
- Wykorzystanie kodowania i szyfrowania w celu obejścia metod wykrywania
- Kodowanie
- Szyfrowanie
- Kwestie dotyczące metod obrony
- Steganografia w interfejsach API
- Zaawansowane przypadki użycia i narzędzia
- Kwestie dotyczące metod obrony
- Polimorfizm w interfejsach API
- Cechy polimorfizmu
- Narzędzia
- Kwestie dotyczące metod obrony
- Wykrywanie technik obchodzenia w interfejsach API i przeciwdziałanie im
- Kompleksowe rejestrowanie i monitorowanie
- Analiza behawioralna
- Wykrywanie oparte na podpisach
- Dynamiczne generowanie podpisów
- Uczenie maszynowe i sztuczna inteligencja
- Praktyki zwiększania bezpieczeństwa ukierunkowane na ludzi
- Podsumowanie
- Dodatkowe źródła informacji
Część 4. Zabezpieczenia interfejsów API dla specjalistów technicznych od zarządzania
- Rozdział 11. Najlepsze praktyki dotyczące projektowania i implementacji bezpiecznych interfejsów API
- Wymagania techniczne
- Znaczenie projektowania i implementacji bezpiecznych interfejsów API
- Projektowanie bezpiecznych interfejsów API
- Modelowanie zagrożeń
- Implementacja bezpiecznych interfejsów API
- Narzędzia
- Utrzymanie bezpiecznych interfejsów API
- Narzędzia
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 12. Wyzwania i rozważania dotyczące zabezpieczeń interfejsów API w dużych przedsiębiorstwach
- Wymagania techniczne
- Zarządzanie bezpieczeństwem w różnorodnym ekosystemie interfejsów API
- Równoważenie bezpieczeństwa i użyteczności
- Wyzwania
- Ochrona starszych interfejsów API
- Zastosowanie bram interfejsów API
- Implementowanie zapór sieciowych aplikacji internetowych
- Regularne audyty zabezpieczeń
- Regularne aktualizacje i poprawki
- Monitorowanie i rejestrowanie aktywności
- Szyfrowanie danych
- Tworzenie bezpiecznych interfejsów API na potrzeby integracji z podmiotami zewnętrznymi
- Monitorowanie bezpieczeństwa i reagowanie na incydenty w przypadku interfejsów API
- Monitorowanie zabezpieczeń
- Reagowanie na incydenty
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 13. Wprowadzanie inicjatyw związanych ze skutecznym nadzorem nad interfejsami API oraz z zarządzaniem ryzykiem
- Nadzór nad interfejsami API i zarządzania ryzykiem
- Kluczowe elementy nadzoru nad interfejsami API i zarządzania ryzykiem
- Ustanawianie solidnych zasad bezpieczeństwa interfejsów API
- Określenie celów i zakresu
- Identyfikacja wymagań dotyczących bezpieczeństwa
- Uwierzytelnianie i autoryzacja
- Szyfrowanie danych
- Weryfikacja i oczyszczanie danych wejściowych
- Rejestrowanie i monitorowanie
- Zgodność i nadzór
- Przeprowadzanie skutecznych ocen ryzyka w przypadku interfejsów API
- Elementy ryzyka powiązane z interfejsami API
- Metody i struktury
- Definiowanie zakresu
- Identyfikacja i analiza ryzyka
- Ustalanie priorytetów elementów ryzyka
- Strategie minimalizujące
- Dokumentacja i raportowanie
- Ciągłe monitorowanie i przegląd
- Struktury zapewniania zgodności w przypadku bezpieczeństwa interfejsów API
- Zgodność z regulacjami prawnymi
- Standardy branżowe
- Audyty i przeglądy zabezpieczeń interfejsów API
- Cel i zakres
- Metody i techniki
- Zgodność i standardy
- Identyfikacja podatności i zagrożeń
- Działanie zaradcze i zalecenia
- Ciągłe monitorowanie i utrzymywanie
- Typowy proces audytu i przeglądu
- Nadzór nad interfejsami API i zarządzania ryzykiem
- Podsumowanie
- Dodatkowe źródła informacji