Categories
Ebooks
-
Business and economy
- Bitcoin
- Businesswoman
- Coaching
- Controlling
- E-business
- Economy
- Finances
- Stocks and investments
- Personal competence
- Computer in the office
- Communication and negotiation
- Small company
- Marketing
- Motivation
- Multimedia trainings
- Real estate
- Persuasion and NLP
- Taxes
- Social policy
- Guides
- Presentations
- Leadership
- Public Relation
- Reports, analyses
- Secret
- Social Media
- Sales
- Start-up
- Your career
- Management
- Project management
- Human Resources
-
For children
-
For youth
-
Education
-
Encyclopedias, dictionaries
-
E-press
- Architektura i wnętrza
- Health and Safety
- Biznes i Ekonomia
- Home and garden
- E-business
- Ekonomia i finanse
- Esoterecism
- Finances
- Personal finance
- Business
- Photography
- Computer science
- HR & Payroll
- For women
- Computers, Excel
- Accounts
- Culture and literature
- Scientific and academic
- Environmental protection
- Opinion-forming
- Education
- Taxes
- Travelling
- Psychology
- Religion
- Agriculture
- Book and press market
- Transport and Spedition
- Healthand beauty
-
History
-
Computer science
- Office applications
- Data bases
- Bioinformatics
- IT business
- CAD/CAM
- Digital Lifestyle
- DTP
- Electronics
- Digital photography
- Computer graphics
- Games
- Hacking
- Hardware
- IT w ekonomii
- Scientific software package
- School textbooks
- Computer basics
- Programming
- Mobile programming
- Internet servers
- Computer networks
- Start-up
- Operational systems
- Artificial intelligence
- Technology for children
- Webmastering
-
Other
-
Foreign languages
-
Culture and art
-
School reading books
-
Literature
- Antology
- Ballade
- Biographies and autobiographies
- For adults
- Dramas
- Diaries, memoirs, letters
- Epic, epopee
- Essay
- Fantasy and science fiction
- Feuilletons
- Work of fiction
- Humour and satire
- Other
- Classical
- Crime fiction
- Non-fiction
- Fiction
- Mity i legendy
- Nobelists
- Novellas
- Moral
- Okultyzm i magia
- Short stories
- Memoirs
- Travelling
- Narrative poetry
- Poetry
- Politics
- Popular science
- Novel
- Historical novel
- Prose
- Adventure
- Journalism, publicism
- Reportage novels
- Romans i literatura obyczajowa
- Sensational
- Thriller, Horror
- Interviews and memoirs
-
Natural sciences
-
Social sciences
-
School textbooks
-
Popular science and academic
- Archeology
- Bibliotekoznawstwo
- Cinema studies
- Philology
- Polish philology
- Philosophy
- Finanse i bankowość
- Geography
- Economy
- Trade. World economy
- History and archeology
- History of art and architecture
- Cultural studies
- Linguistics
- Literary studies
- Logistics
- Maths
- Medicine
- Humanities
- Pedagogy
- Educational aids
- Popular science
- Other
- Psychology
- Sociology
- Theatre studies
- Theology
- Economic theories and teachings
- Transport i spedycja
- Physical education
- Zarządzanie i marketing
-
Guides
-
Game guides
-
Professional and specialist guides
-
Law
- Health and Safety
- History
- Road Code. Driving license
- Law studies
- Healthcare
- General. Compendium of knowledge
- Academic textbooks
- Other
- Construction and local law
- Civil law
- Financial law
- Economic law
- Economic and trade law
- Criminal law
- Criminal law. Criminal offenses. Criminology
- International law
- International law
- Health care law
- Educational law
- Tax law
- Labor and social security law
- Public, constitutional and administrative law
- Family and Guardianship Code
- agricultural law
- Social law, labour law
- European Union law
- Industry
- Agricultural and environmental
- Dictionaries and encyclopedia
- Public procurement
- Management
-
Tourist guides and travel
- Africa
- Albums
- Southern America
- North and Central America
- Australia, New Zealand, Oceania
- Austria
- Asia
- Balkans
- Middle East
- Bulgary
- China
- Croatia
- The Czech Republic
- Denmark
- Egipt
- Estonia
- Europe
- France
- Mountains
- Greece
- Spain
- Holand
- Iceland
- Lithuania
- Latvia
- Mapy, Plany miast, Atlasy
- Mini travel guides
- Germany
- Norway
- Active travelling
- Poland
- Portugal
- Other
- Przewodniki po hotelach i restauracjach
- Russia
- Romania
- Slovakia
- Slovenia
- Switzerland
- Sweden
- World
- Turkey
- Ukraine
- Hungary
- Great Britain
- Italy
-
Psychology
- Philosophy of life
- Kompetencje psychospołeczne
- Interpersonal communication
- Mindfulness
- General
- Persuasion and NLP
- Academic psychology
- Psychology of soul and mind
- Work psychology
- Relacje i związki
- Parenting and children psychology
- Problem solving
- Intellectual growth
- Secret
- Sexapeal
- Seduction
- Appearance and image
- Philosophy of life
-
Religion
-
Sport, fitness, diets
-
Technology and mechanics
Audiobooks
-
Business and economy
- Bitcoin
- Businesswoman
- Coaching
- Controlling
- E-business
- Economy
- Finances
- Stocks and investments
- Personal competence
- Communication and negotiation
- Small company
- Marketing
- Motivation
- Real estate
- Persuasion and NLP
- Taxes
- Social policy
- Guides
- Presentations
- Leadership
- Public Relation
- Secret
- Social Media
- Sales
- Start-up
- Your career
- Management
- Project management
- Human Resources
-
For children
-
For youth
-
Education
-
Encyclopedias, dictionaries
-
E-press
-
History
-
Computer science
-
Other
-
Foreign languages
-
Culture and art
-
School reading books
-
Literature
- Antology
- Ballade
- Biographies and autobiographies
- For adults
- Dramas
- Diaries, memoirs, letters
- Epic, epopee
- Essay
- Fantasy and science fiction
- Feuilletons
- Work of fiction
- Humour and satire
- Other
- Classical
- Crime fiction
- Non-fiction
- Fiction
- Mity i legendy
- Nobelists
- Novellas
- Moral
- Okultyzm i magia
- Short stories
- Memoirs
- Travelling
- Poetry
- Politics
- Popular science
- Novel
- Historical novel
- Prose
- Adventure
- Journalism, publicism
- Reportage novels
- Romans i literatura obyczajowa
- Sensational
- Thriller, Horror
- Interviews and memoirs
-
Natural sciences
-
Social sciences
-
Popular science and academic
-
Guides
-
Professional and specialist guides
-
Law
-
Tourist guides and travel
-
Psychology
- Philosophy of life
- Interpersonal communication
- Mindfulness
- General
- Persuasion and NLP
- Academic psychology
- Psychology of soul and mind
- Work psychology
- Relacje i związki
- Parenting and children psychology
- Problem solving
- Intellectual growth
- Secret
- Sexapeal
- Seduction
- Appearance and image
- Philosophy of life
-
Religion
-
Sport, fitness, diets
-
Technology and mechanics
Videocourses
-
Data bases
-
Big Data
-
Biznes, ekonomia i marketing
-
Cybersecurity
-
Data Science
-
DevOps
-
For children
-
Electronics
-
Graphics/Video/CAX
-
Games
-
Microsoft Office
-
Development tools
-
Programming
-
Personal growth
-
Computer networks
-
Operational systems
-
Software testing
-
Mobile devices
-
UX/UI
-
Web development
-
Management
Podcasts
- Ebooks
- Webmastering
- API
- Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API
E-book details

Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API
Confidence Staveley, Christopher Romeo
Słowo wstępne: Christopher Romeo, prezes firmy Devici oraz partner generalny w firmie Kerr Ventures
Interfejsy API są siłą napędową innowacji w dziedzinie oprogramowania. Umożliwiają płynną komunikację i wymianę danych między różnymi aplikacjami, usługami i systemami. Wzajemna łączność sprawia też jednak, że interfejsy API stają się atrakcyjnym celem dla napastników usiłujących wykorzystać ich podatności i uzyskać dostęp do chronionych danych.
Ten kompleksowy podręcznik docenią specjaliści do spraw bezpieczeństwa i projektanci aplikacji. Znajdziesz w nim szereg przydatnych informacji na temat testowania API, identyfikowania podatności i ich eliminowania. W książce znalazło się mnóstwo praktycznych przykładów, dzięki którym dowiesz się, jak unikać kontroli uwierzytelniania i autoryzacji, a także jak identyfikować podatności w interfejsach API przy użyciu różnych narzędzi. Nauczysz się też tworzenia rozbudowanych raportów dotyczących wykrytych podatności, a ponadto rekomendowania i stosowania skutecznych strategii ich minimalizowania. Poznasz również strategie zarządzania bezpieczeństwem interfejsów API i dowiesz się, jak je chronić przed najnowszymi zagrożeniami.
W książce:
- najlepsze praktyki i standardy bezpieczeństwa API
- testy penetracyjne i ocena podatności API
- modelowanie zagrożeń i ocena ryzyka w kontekście bezpieczeństwa API
- techniki unikania wykrycia
- integracja zabezpieczeń API z przepływem pracy w ramach metodyki DevOps
- nadzór nad interfejsami API i zarządzanie ryzykiem
Chroń to, co najcenniejsze, i nie daj się zhakować!
O recenzentach
Słowo wstępne
Przedmowa
- Dla kogo przeznaczona jest ta książka?
- Zawartość książki
- Jak najlepiej korzystać z książki?
- Pobieranie plików z przykładowym kodem
- Konwencje
Część 1. Podstawy zabezpieczeń interfejsów API
- Rozdział 1. Wprowadzenie do architektury i zabezpieczeń interfejsów API
- Interfejsy API i ich rola w nowoczesnych aplikacjach
- Jak działają interfejsy API?
- Wykorzystanie interfejsów API w nowoczesnych aplikacjach - zalety i korzyści
- Użycie interfejsów API w rzeczywistych przykładach biznesowych
- Przegląd zabezpieczeń interfejsów API
- Dlaczego bezpieczeństwo interfejsów API jest tak istotne?
- Podstawowe komponenty architektury interfejsów API i protokoły komunikacji
- Typy interfejsów API i ich zalety
- Typowe protokoły komunikacyjne i kwestie bezpieczeństwa
- Podsumowanie
- Dodatkowe źródła informacji
- Interfejsy API i ich rola w nowoczesnych aplikacjach
- Rozdział 2. Ewolucja krajobrazu zagrożeń dotyczących interfejsów API i kwestie bezpieczeństwa
- Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
- Początki interfejsów API
- Powstanie Internetu i sieciowych interfejsów API
- Pojawienie się stylu architektury REST i nowoczesnych interfejsów API
- Era mikrousług, urządzeń IoT i przetwarzania w chmurze
- Współczesny krajobraz zagrożeń związanych z interfejsami API
- Kluczowe kwestie dotyczące bezpieczeństwa interfejsów API w powiększającym się ekosystemie
- Nowe trendy w zakresie bezpieczeństwa interfejsów API
- Architektura zerowego zaufania trust w zabezpieczeniach interfejsów API
- Wykorzystanie technologii blockchain do wzmocnienia bezpieczeństwa interfejsów API
- Pojawienie się ataków zautomatyzowanych i botów
- Kryptografia postkwantowa w zabezpieczeniach interfejsów API
- Bezpieczeństwo architektury bezserwerowej w kontekście bezpieczeństwa interfejsów API
- Analityka behawioralna i profilowanie zachowań użytkowników w kontekście bezpieczeństwa interfejsów API
- Wnioski z rzeczywistych naruszeń danych przez interfejsy API
- Naruszenie danych firmy Uber (2016 r.)
- Naruszenie danych firmy Equifax (2017 r.)
- Naruszenie danych firmy MyFitnessPal (2018 r.)
- Skandal związany z firmami Facebook i Cambridge Analytica (2018 r.)
- Podsumowanie
- Dodatkowe źródła informacji
- Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
- Rozdział 3. Objaśnienie 10 największych zagrożeń dotyczących bezpieczeństwa interfejsów API (według organizacji OWASP)
- Fundacja OWASP i zestawienie API Security Top 10 - oś czasu
- Analiza zestawienia OWASP API Security Top 10
- OWASP API 1 - naruszenie autoryzacji na poziomie obiektu
- OWASP API 2 - naruszenie uwierzytelniania
- OWASP API 3 - naruszenie autoryzacji na poziomie właściwości obiektu
- OWASP API 4 - nieograniczone wykorzystanie zasobów
- OWASP API 5 - naruszenie autoryzacji na poziomie funkcji
- OWASP API 6 - nieograniczony dostęp do poufnych procesów biznesowych
- OWASP API 7 - fałszowanie żądań po stronie serwera
- OWASP API 8 - błędna konfiguracja zabezpieczeń
- OWASP API 9 - niewłaściwe zarządzanie magazynem
- OWASP API 10 - niezabezpieczone korzystanie z interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
Część 2. Ofensywne naruszanie zabezpieczeń interfejsów API
- Rozdział 4. Strategie i taktyki ataków dotyczących interfejsów API
- Wymagania techniczne
- Testowanie zabezpieczeń interfejsów API - przegląd niezbędnego zestawu narzędzi
- Przegląd i konfiguracja systemu Kali Linux na maszynie wirtualnej
- Przeglądarka jako narzędzie do testowania bezpieczeństwa interfejsów API
- Korzystanie z pakietu Burp Suite i ustawienia usługi proxy
- Omówienie narzędzi pakietu Burp Suite
- Konfiguracja rozszerzenia FoxyProxy dla przeglądarki Firefox
- Konfiguracja certyfikatów pakietu Burp Suite
- Eksploracja funkcji usługi proxy pakietu Burp Suite
- Konfiguracja narzędzia Postman do testowania interfejsów API i przechwytywanie ruchu za pomocą pakietu Burp Suite
- Kolekcje narzędzia Postman
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 5. Wykorzystanie luk w interfejsach API
- Wymagania techniczne
- Wektory ataku dotyczącego interfejsów API
- Typy wektorów ataku
- Ataki z wstrzykiwaniem i danymi losowymi na interfejsy API
- Ataki z danymi losowymi
- Ataki ze wstrzykiwaniem
- Wykorzystywanie luk w interfejsach API związanych z uwierzytelnianiem i autoryzacją
- Ataki siłowe na hasła
- Ataki z użyciem tokenów JWT
- Podsumowanie
- Rozdział 6. Omijanie elementów kontroli uwierzytelniania i autoryzacji interfejsów API
- Wymagania techniczne
- Wprowadzenie do elementów kontroli uwierzytelniania i autoryzacji w interfejsach API
- Typowe metody uwierzytelniania i autoryzacji w interfejsach API
- Omijanie elementów kontroli uwierzytelniania użytkowników
- Omijanie elementów kontroli uwierzytelniania opartego na tokenach
- Omijanie elementów kontroli uwierzytelniania opartego na kluczach interfejsu API
- Omijanie elementów kontroli dostępu opartych na rolach i atrybutach
- Przykłady rzeczywistych ataków z omijaniem zabezpieczeń interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 7. Ataki oparte na technikach weryfikacji danych wejściowych oraz szyfrowania w interfejsach API
- Wymagania techniczne
- Elementy kontrolne weryfikacji poprawności danych wejściowych w interfejsach API
- Techniki omijania elementów kontrolnych weryfikacji poprawności danych w interfejsach API
- Wstrzykiwanie kodu SQL
- Ataki XSS
- Ataki z użyciem danych XML
- Wprowadzenie do mechanizmów szyfrowania i odszyfrowywania w interfejsach API
- Techniki unikania mechanizmów szyfrowania i odszyfrowywania interfejsów API
- Studium przypadków, czyli rzeczywiste przykłady ataków dotyczących szyfrowania w interfejsach API
- Podsumowanie
- Dodatkowe źródła informacji
Część 3. Zaawansowane techniki testowania i naruszania zabezpieczeń interfejsów API
- Rozdział 8. Testy penetracyjne i ocena podatności interfejsów API
- Znaczenie oceny podatności interfejsów API
- Rekonesans i footprinting interfejsów API
- Techniki rekonesansu i footprintingu interfejsów API
- Skanowanie i wyliczanie elementów interfejsów API
- Techniki skanowania i wyliczania interfejsów API
- Techniki wykorzystania podatności interfejsów API w trakcie ataku i po nim
- Techniki wykorzystania
- Techniki wykorzystania po dokonaniu ataku
- Najlepsze praktyki dotyczące oceny podatności interfejsów API oraz testów penetracyjnych
- Tworzenie raportów dotyczących podatności interfejsu API oraz ich łagodzenie
- Przyszłość testów penetracyjnych i oceny podatności interfejsów API
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 9. Zaawansowane testowanie interfejsów API: metody, narzędzia i środowiska
- Wymagania techniczne
- Zautomatyzowane testowanie interfejsów API z wykorzystaniem sztucznej inteligencji
- Specjalistyczne narzędzia i środowiska używane do testowania interfejsów API z wykorzystaniem sztucznej inteligencji
- Inne oparte na sztucznej inteligencji narzędzia do automatyzacji zabezpieczeń
- Testowanie interfejsów API na dużą skalę z użyciem żądań równoległych
- Gatling
- Sposób użycia narzędzia Gatling do testowania interfejsów API na dużą skalę z wykorzystaniem żądań równoległych
- Zaawansowane techniki pozyskiwania danych z interfejsów API
- Stronicowanie
- Ograniczanie liczby żądań
- Uwierzytelnianie
- Zawartość dynamiczna
- Zaawansowane techniki wprowadzania danych losowych związane z testowaniem interfejsów API
- AFL
- Przykład zastosowania
- Środowiska testowania interfejsów API
- Środowisko RestAssured
- Środowisko WireMock
- Środowisko Postman
- Środowisko Karate DSL
- Środowisko Citrus
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 10. Wykorzystanie technik obchodzenia
- Wymagania techniczne
- Techniki zaciemniania kodu w interfejsach API
- Zaciemnianie przepływu sterowania
- Podział kodu
- Wstrzykiwanie "martwego" kodu
- Nadmierne wykorzystanie zasobów
- Techniki wstrzykiwania kodu służące do unikania wykrycia
- Zanieczyszczanie parametrów
- Wstrzykiwanie bajtów zerowych
- Wykorzystanie kodowania i szyfrowania w celu obejścia metod wykrywania
- Kodowanie
- Szyfrowanie
- Kwestie dotyczące metod obrony
- Steganografia w interfejsach API
- Zaawansowane przypadki użycia i narzędzia
- Kwestie dotyczące metod obrony
- Polimorfizm w interfejsach API
- Cechy polimorfizmu
- Narzędzia
- Kwestie dotyczące metod obrony
- Wykrywanie technik obchodzenia w interfejsach API i przeciwdziałanie im
- Kompleksowe rejestrowanie i monitorowanie
- Analiza behawioralna
- Wykrywanie oparte na podpisach
- Dynamiczne generowanie podpisów
- Uczenie maszynowe i sztuczna inteligencja
- Praktyki zwiększania bezpieczeństwa ukierunkowane na ludzi
- Podsumowanie
- Dodatkowe źródła informacji
Część 4. Zabezpieczenia interfejsów API dla specjalistów technicznych od zarządzania
- Rozdział 11. Najlepsze praktyki dotyczące projektowania i implementacji bezpiecznych interfejsów API
- Wymagania techniczne
- Znaczenie projektowania i implementacji bezpiecznych interfejsów API
- Projektowanie bezpiecznych interfejsów API
- Modelowanie zagrożeń
- Implementacja bezpiecznych interfejsów API
- Narzędzia
- Utrzymanie bezpiecznych interfejsów API
- Narzędzia
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 12. Wyzwania i rozważania dotyczące zabezpieczeń interfejsów API w dużych przedsiębiorstwach
- Wymagania techniczne
- Zarządzanie bezpieczeństwem w różnorodnym ekosystemie interfejsów API
- Równoważenie bezpieczeństwa i użyteczności
- Wyzwania
- Ochrona starszych interfejsów API
- Zastosowanie bram interfejsów API
- Implementowanie zapór sieciowych aplikacji internetowych
- Regularne audyty zabezpieczeń
- Regularne aktualizacje i poprawki
- Monitorowanie i rejestrowanie aktywności
- Szyfrowanie danych
- Tworzenie bezpiecznych interfejsów API na potrzeby integracji z podmiotami zewnętrznymi
- Monitorowanie bezpieczeństwa i reagowanie na incydenty w przypadku interfejsów API
- Monitorowanie zabezpieczeń
- Reagowanie na incydenty
- Podsumowanie
- Dodatkowe źródła informacji
- Rozdział 13. Wprowadzanie inicjatyw związanych ze skutecznym nadzorem nad interfejsami API oraz z zarządzaniem ryzykiem
- Nadzór nad interfejsami API i zarządzania ryzykiem
- Kluczowe elementy nadzoru nad interfejsami API i zarządzania ryzykiem
- Ustanawianie solidnych zasad bezpieczeństwa interfejsów API
- Określenie celów i zakresu
- Identyfikacja wymagań dotyczących bezpieczeństwa
- Uwierzytelnianie i autoryzacja
- Szyfrowanie danych
- Weryfikacja i oczyszczanie danych wejściowych
- Rejestrowanie i monitorowanie
- Zgodność i nadzór
- Przeprowadzanie skutecznych ocen ryzyka w przypadku interfejsów API
- Elementy ryzyka powiązane z interfejsami API
- Metody i struktury
- Definiowanie zakresu
- Identyfikacja i analiza ryzyka
- Ustalanie priorytetów elementów ryzyka
- Strategie minimalizujące
- Dokumentacja i raportowanie
- Ciągłe monitorowanie i przegląd
- Struktury zapewniania zgodności w przypadku bezpieczeństwa interfejsów API
- Zgodność z regulacjami prawnymi
- Standardy branżowe
- Audyty i przeglądy zabezpieczeń interfejsów API
- Cel i zakres
- Metody i techniki
- Zgodność i standardy
- Identyfikacja podatności i zagrożeń
- Działanie zaradcze i zalecenia
- Ciągłe monitorowanie i utrzymywanie
- Typowy proces audytu i przeglądu
- Nadzór nad interfejsami API i zarządzania ryzykiem
- Podsumowanie
- Dodatkowe źródła informacji
- Title: Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API
- Author: Confidence Staveley, Christopher Romeo
- Original title: API Security for White Hat Hackers: Uncover offensive defense strategies and get up to speed with secure API implementation
- Translation: Piotr Pilch
- ISBN: 978-83-289-2304-1, 9788328923041
- Date of issue: 2025-06-03
- Format: Ebook
- Item ID: bewapi
- Publisher: Helion