Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych - ebook

Corey J. Ball

Wydawnictwo:

Helion

Tłumacz:

Andrzej Watrak

Data wydania:

16 sierpnia 2023

Format ebooka:

EPUB

czytaj

na czytniku

czytaj

na tablecie

czytaj

na smartfonie

Jeden z najpopularniejszych formatów e-booków na świecie. Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

E-booki w Virtualo.pl dostępne są w opcji multiformatu. Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.

, PDF

czytaj

na laptopie

czytaj

na tablecie

Format e-booków, który możesz odczytywać na tablecie oraz laptopie. Pliki PDF są odczytywane również przez czytniki i smartfony, jednakze względu na komfort czytania i brak możliwości skalowania czcionki, czytanie plików PDF na tych urządzeniach może być męczące dla oczu. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

, MOBI

czytaj

na czytniku

czytaj

na tablecie

czytaj

na smartfonie

Jeden z najczęściej wybieranych formatów wśród czytelników e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji znajdziesz w dziale Pomoc.

Multiformat

(3w1)

Multiformat

E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej Bibliotece we wszystkich formatach dostępnych aktualnie dla danego tytułu. Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją multiformatu.

czytaj

na laptopie

Pliki PDF zabezpieczone watermarkiem możesz odczytać na dowolnym laptopie po zainstalowaniu czytnika dokumentów PDF. Najpowszechniejszym programem, który umożliwi odczytanie pliku PDF na laptopie, jest Adobe Reader. W zależności od potrzeb, możesz zainstalować również inny program - e-booki PDF pod względem sposobu odczytywania nie różnią niczym od powszechnie stosowanych dokumentów PDF, które odczytujemy każdego dnia.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na tablecie

Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire dla EPUBa lub aplikacja Kindle dla formatu MOBI.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na czytniku

Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy wzroku. Pliki przystosowane do odczytywania na czytnikach to przede wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

czytaj

na smartfonie

Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną aplikację. W zależności od formatu e-booka oraz systemu operacyjnego, który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla EPUBa lub aplikacja Kindle dla formatu MOBI.

Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale Pomoc.

Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych - ebook

Jeśli najcenniejszym zasobem świata są dane, to interfejsy API można porównać do cyfrowych rurociągów przesyłających cenny towar pomiędzy kontrahentami. Ta technologia, dzięki temu, że umożliwia wymianę danych między różnymi aplikacjami, zmieniła sposób projektowania oprogramowania. API mają jednak bardzo poważną wadę: podatność na ataki. Bardzo często hakerzy traktują je jako otwarte drzwi do cennych danych. A to najkrótsza droga do katastrofy.

Ta książka stanowi przyspieszony kurs testowania bezpieczeństwa interfejsów API aplikacji internetowych. Dzięki niej przygotujesz się do testowania interfejsów, wyszukiwania błędów i zwiększania bezpieczeństwa własnoręcznie napisanych interfejsów. Dowiesz się, jak interfejsy REST API działają w środowisku produkcyjnym i jakie problemy wiążą się z ich bezpieczeństwem. Zbudujesz nowoczesne środowisko testowe złożone z programów: Burp Suite, Postman, Kiterunner i OWASP Amass, przydatnych do rekonesansu, analizy punktów końcowych i zakłócania interfejsów. Następnie nauczysz się przeprowadzać ataki na procesy uwierzytelniania, luki w procedurach biznesowych czy typowe słabe punkty interfejsów. Dowiesz się też, jak tworzyć skrypty międzyinterfejsowe, a także jak prowadzić masowe przypisania i wstrzykiwanie danych.

Ta książka to żyła złota dla hakerów interfejsów API!

Chris Roberts, vCISO

Dzięki książce nauczysz się:

identyfikować użytkowników i punkty końcowe API
wykrywać nadmierną ekspozycję danych
atakować proces uwierzytelniania
wstrzykiwać zapytania NoSQL
przeprowadzać inżynierię wsteczną interfejsu API
wykrywać błędy w procedurach biznesowych

Czy już wiesz, jak atakuje prawdziwy wróg?

Spis treści

O autorze

O korektorze merytorycznym

Przedmowa

Podziękowania

Wprowadzenie

I. CZYM JEST BEZPIECZEŃSTWO INTERFEJSÓW API?

0. PRZYGOTOWANIE TESTÓW BEZPIECZEŃSTWA
- Uzyskanie upoważnienia
- Modelowanie zagrożeń przed testem interfejsu API
- Jakie cechy interfejsu API należy testować?
  - Testy mechanizmów uwierzytelniania
  - Zapory WAF
  - Testy aplikacji mobilnych
  - Audyt dokumentacji interfejsu API
  - Testy limitu zapytań
- Ograniczenia i wykluczenia
  - Testy chmurowych interfejsów API
  - Testy odporności na ataki DoS
- Raportowanie i testowanie środków zaradczych
- Uwaga dotycząca programów dla łowców nagród
- Podsumowanie
1. JAK DZIAŁAJĄ APLIKACJE INTERNETOWE?
- Podstawy aplikacji internetowych
  - Adres URL
  - Zapytania HTTP
  - Odpowiedzi HTTP
  - Kody stanu HTTP
  - Metody HTTP
  - Połączenia stanowe i bezstanowe
- Bazy danych w aplikacjach internetowych
  - Relacyjne bazy danych
  - Nierelacyjne bazy danych
- Miejsce interfejsów API
- Podsumowanie
2. ANATOMIA INTERFEJSU API
- Jak działają internetowe interfejsy API?
- Typy internetowych interfejsów API
  - REST
  - GraphQL
- Specyfikacje REST API
- Formaty wymiany danych
  - JSON
  - XML
  - YAML
- Uwierzytelnianie
  - Podstawowe uwierzytelnienie
  - Klucze API
  - Tokeny JWT
  - HMAC
  - OAuth 2.0
  - Brak uwierzytelnienia
- Praktyczne ćwiczenie: badanie interfejsu API Twittera
- Podsumowanie
3. TYPOWE PODATNOŚCI INTERFEJSÓW API
- Wycieki informacji
- Wadliwa autoryzacja na poziomie obiektu
- Wadliwa autoryzacja użytkownika
- Nadmierna ekspozycja danych
- Brak zasobów i limitu zapytań
- Wadliwa autoryzacja na poziomie funkcji
- Przypisanie masowe
- Błędna konfiguracja zabezpieczeń
- Wstrzykiwanie danych
- Niewłaściwe zarządzanie zasobami
- Błędy w procedurach biznesowych
- Podsumowanie

II. BUDOWANIE LABORATORIUM TESTOWANIA INTERFEJSÓW API

4. TWÓJ SYSTEM HAKERSKI
- Kali Linux
- Analiza aplikacji internetowych za pomocą DevTools
- Przechwytywanie i modyfikowanie zapytań za pomocą Burp Suite
  - Konfiguracja FoxyProxy
  - Instalacja certyfikatu Burp Suite
  - Korzystanie z programu Burp Suite
  - Przechwytywanie komunikacji
  - Modyfikowanie zapytań za pomocą modułu Intruder
- Wysyłanie zapytań za pomocą programu Postman
  - Edytor zapytań
  - Środowisko
  - Kolekcja
  - Wysyłanie kolekcji zapytań
  - Generowanie kodu
  - Testy
- Integracja programów Postman i Burp Suite
- Dodatkowe narzędzia
  - Przeprowadzanie rekonesansu za pomocą narzędzia OWASP Amass
  - Wykrywanie punktów końcowych za pomocą programu Kiterunner
  - Wykrywanie podatności za pomocą Nikto
  - Wykrywanie podatności za pomocą OWASP ZAP
  - Zakłócanie za pomocą Wfuzz
  - Wykrywanie parametrów zapytań za pomocą Arjun
- Podsumowanie
- Ćwiczenie 1. Zliczenie kont użytkowników interfejsu API
5. PRZYGOTOWANIE PODATNYCH INTERFEJSÓW API
- Utworzenie hosta z systemem Linux
- Instalacja środowisk Docker i Docker Compose
- Instalacja podatnych aplikacji
  - crAPI
  - Pixi
  - Juice Shop
  - DVGA
- Inne podatne aplikacje
- Hakowanie interfejsów API w serwisach TryHackMe i HackTheBox
- Podsumowanie
- Ćwiczenie 2. Wyszukanie podatnych na ataki interfejsów API

III. ATAKOWANIE INTERFEJSÓW API

6. ODKRYWANIE INTERFEJSÓW API
- Rekonesans pasywny
  - Proces rekonesansu pasywnego
  - Hakowanie za pomocą Google
  - Katalog interfejsów API - ProgrammableWeb
  - Shodan
  - OWASP Amass
  - Informacje eksponowane w serwisie GitHub
- Rekonesans aktywny
  - Proces rekonesansu aktywnego
  - Ogólne skanowanie za pomocą Nmap
  - Wyszukiwanie ukrytych ścieżek w pliku robots.txt
  - Wyszukiwanie poufnych informacji za pomocą Chrome DevTools
  - Weryfikacja interfejsu API za pomocą Burp Suite
  - Skanowanie identyfikatorów URI za pomocą OWASP ZAP
  - Wyszukiwanie identyfikatorów URI metodą brutalnej siły za pomocą programu Gobuster
  - Wykrywanie zasobów interfejsów API za pomocą narzędzia Kiterunner
- Podsumowanie
- Ćwiczenie 3. Rekonesans aktywny w teście czarnej skrzynki
7. ANALIZA PUNKTÓW KOŃCOWYCH
- Pozyskiwanie informacji o zapytaniach
  - Wyszukiwanie informacji w dokumentacji
  - Import specyfikacji interfejsu API
  - Inżynieria odwrotna interfejsu API
- Konfiguracja uwierzytelnienia w programie Postman
- Analiza funkcjonalności interfejsu
  - Testowanie interfejsu zgodnie z przeznaczeniem
  - Wykonywanie operacji jako uwierzytelniony użytkownik
  - Analiza odpowiedzi
- Wyszukiwanie wycieków informacji
- Wyszukiwanie błędów w konfiguracji zabezpieczeń
  - Szczegółowe komunikaty o błędach
  - Słabe algorytmy szyfrowania
  - Problematyczna konfiguracja
- Wyszukiwanie nadmiernej ekspozycji danych
- Wyszukiwanie błędów w procedurach biznesowych
- Podsumowanie
- Ćwiczenie 4. Utworzenie kolekcji crAPI i identyfikacja nadmiernej ekspozycji danych
8. ATAKOWANIE PROCESU UWIERZYTELNIANIA UŻYTKOWNIKÓW
- Typowe ataki na procesy uwierzytelniania użytkowników
  - Łamanie poświadczeń metodą brutalnej siły
  - Reset hasła i atakowanie procesu uwierzytelnienia wieloskładnikowego metodą brutalnej siły
  - Rozpylanie haseł
  - Kodowanie Base64 w atakach metodą brutalnej siły
- Fałszowanie tokenów
  - Analiza ręcznie załadowanej listy tokenów
  - Analiza przechwytywanych tokenów
  - Generowanie prawdopodobnych tokenów
- Łamanie tokenów JWT
  - Identyfikacja i analiza tokenów JWT
  - Eliminacja algorytmu kodowania
  - Podmiana algorytmu
  - Łamanie tokenu JWT
- Podsumowanie
- Ćwiczenie 5. Łamanie podpisu tokenu JWT w aplikacji crAPI
9. ZAKŁÓCANIE INTERFEJSU API
- Skuteczne zakłócanie interfejsów API
  - Dobór ładunków zakłócających
  - Wykrywanie anomalii
- Zakłócanie interfejsu wszerz i w głąb
  - Zakłócanie interfejsu wszerz za pomocą programu Postman
  - Zakłócanie interfejsu w głąb za pomocą programu Burp Suite
  - Zakłócanie interfejsu w głąb za pomocą programu Wfuzz
  - Zakłócanie interfejsu wszerz i identyfikowanie niewłaściwego zarządzania zasobami
- Testowanie metod HTTP za pomocą programu Wfuzz
- Głębsze zakłócanie interfejsu i omijanie weryfikacji danych wejściowych
- Zakłócanie interfejsu i przełączanie katalogów
- Podsumowanie
- Ćwiczenie 6. Zakłócanie interfejsu wszerz i niewłaściwe zarządzanie zasobami
10. EKSPLORACJA PROCESU AUTORYZACJI UŻYTKOWNIKÓW
- Identyfikacja podatności BOLA
  - Określenie identyfikatora zasobu
  - Test A-B podatności BOLA
  - Test podatności BOLA z użyciem kanału bocznego
- Identyfikacja podatności BFLA
  - Test A-B-A podatności BFLA
  - Testowanie podatności BFLA za pomocą programu Postman
- Wskazówki dotyczące hakowania procesu autoryzacji
  - Zmienne kolekcji w programie Postman
  - Wyszukiwanie i zmienianie zapytań w programie Burp Suite
- Podsumowanie
- Ćwiczenie 7. Lokalizacja pojazdu innego użytkownika
11. PRZYPISANIE MASOWE
- Identyfikowanie przypisania masowego
  - Rejestrowanie konta
  - Nieautoryzowany dostęp do zasobów innej organizacji
- Identyfikacja kluczy
  - Wyszukiwanie kluczy w dokumentacji
  - Zakłócanie niezrozumiałych kluczy
  - Losowe testowanie podatności na przypisanie masowe
- Testowanie podatności na przypisanie masowe za pomocą programów Arjun i Burp Suite Intruder
- Test podatności BFLA i przypisania masowego
- Podsumowanie
- Ćwiczenie 8. Modyfikacja ceny produktu w sklepie internetowym
12. WSTRZYKIWANIE DANYCH
- Identyfikacja podatności na wstrzykiwanie danych
- Skrypty międzydomenowe (XSS)
- Skrypty międzyinterfejsowe (XAS)
- Wstrzykiwanie zapytań SQL
  - Specjalne ciągi znaków w zapytaniach SQL
  - SQLmap
- Wstrzykiwanie zapytań NoSQL
- Wstrzykiwanie poleceń systemu operacyjnego
- Podsumowanie
- Ćwiczenie 9. Wyłudzanie kuponów poprzez wstrzykiwanie zapytań NoSQL

IV. HAKOWANIE INTERFEJSÓW API W PRAKTYCE

13. OMIJANIE ZABEZPIECZEŃ I TESTOWANIE LIMITU ZAPYTAŃ
- Omijanie mechanizmów ochrony
  - Jak funkcjonuje mechanizm ochrony?
  - Wykrywanie mechanizmów ochrony
  - Fikcyjne konta
  - Techniki uników
  - Omijanie zabezpieczeń za pomocą programu Burp Suite
  - Omijanie zabezpieczeń za pomocą programu Wfuzz
- Testowanie limitu zapytań
  - Przestrzeganie łagodnych limitów
  - Modyfikacja ścieżki URL
  - Fałszowanie nagłówka pochodzenia
  - Rotacja adresów IP w Burp Suite
- Podsumowanie
14. ATAKOWANIE INTERFEJSU GRAPHQL API
- Zapytania GraphQL i środowisko IDE
- Aktywny rekonesans aplikacji DVGA
  - Skanowanie
  - Badanie za pomocą przeglądarki
  - Badanie za pomocą narzędzi DevTools
- Inżynieria odwrotna interfejsu GraphQL API
  - Identyfikacja punktu końcowego metodą brutalnej siły
  - Modyfikacja nagłówka w celu uzyskania dostępu do środowiska GraphiQL
  - Inżynieria odwrotna interfejsu GraphQL API
  - Inżynieria odwrotna interfejsu przy użyciu zapytania introspekcyjnego
- Analiza interfejsu GraphQL API
  - Tworzenie zapytań za pomocą eksploratora dokumentacji
  - Rozszerzenie InQL programu Burp Suite
- Zakłócanie i wstrzykiwanie poleceń
- Podsumowanie
15. WŁAMANIA DO INTERFEJSÓW API I POLOWANIA NA NAGRODYWłamania do interfejsów API i polowania na nagrody
- Włamania
  - Peloton
  - Poczta Stanów Zjednoczonych
  - T-Mobile
- Polowania na nagrody
  - Cena dobrego klucza API
  - Błąd w procesie autoryzacji w prywatnym interfejsie API
  - Starbucks - włamanie, którego nie było
  - Podatność BOLA interfejsu GraphQL API w serwisie Instagram
- Podsumowanie

Zakończenie

A. Lista kontrolna hakera

B. Dodatkowe materiały

Skorowidz

Kategoria:	Informatyka
Język:	Polski
Zabezpieczenie:	Watermark Watermark Watermarkowanie polega na znakowaniu plików wewnątrz treści, dzięki czemu możliwe jest rozpoznanie unikatowej licencji transakcyjnej Użytkownika. E-książki zabezpieczone watermarkiem można odczytywać na wszystkich urządzeniach odtwarzających wybrany format (czytniki, tablety, smartfony). Nie ma również ograniczeń liczby licencji oraz istnieje możliwość swobodnego przenoszenia plików między urządzeniami. Pliki z watermarkiem są kompatybilne z popularnymi programami do odczytywania ebooków, jak np. Calibre oraz aplikacjami na urządzenia mobilne na takie platformy jak iOS oraz Android.
ISBN:	978-83-8322-409-1
Rozmiar pliku:	14 MB
Użytkowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.
Drukowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.
Kopiowanie:	w granicach licencji Informacje na temat użytkowania Kopia przeznaczona jest wyłącznie do własnego użytku osobistego w granicach udzielonej licencji. Wszelkie prawa są zastrzeżone chyba, że właściciel praw autorskich udzieli wyraźnej licencji. Z wyjątkiem sytuacji dopuszczalnych przez prawo lub uzyskania zgody uprawnionego z tytułu praw autorskich, jakiekolwiek powielanie, montaż, wyświetlanie, wypożyczanie, publiczne pokazy czy inne rozpowszechnianie zawartości tej kopii lub jej fragmentów czy części jest bezwzględnie zabronione. Niniejsza kopia nie może być przedmiotem odsprzedaży czy dystrybucji i sprzedaży handlowej bez uzyskania odpowiedniej licencji udzielonej przez Virtualo sp. z o.o.

Hakowanie interfejsów API. Łamanie interfejsów programowania aplikacji internetowych - ebook

Spis treści

BESTSELLERY