E-book details

Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API

Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API

Confidence Staveley, Christopher Romeo

Ebook

Słowo wstępne: Christopher Romeo, prezes firmy Devici oraz partner generalny w firmie Kerr Ventures

Interfejsy API są siłą napędową innowacji w dziedzinie oprogramowania. Umożliwiają płynną komunikację i wymianę danych między różnymi aplikacjami, usługami i systemami. Wzajemna łączność sprawia też jednak, że interfejsy API stają się atrakcyjnym celem dla napastników usiłujących wykorzystać ich podatności i uzyskać dostęp do chronionych danych.

Ten kompleksowy podręcznik docenią specjaliści do spraw bezpieczeństwa i projektanci aplikacji. Znajdziesz w nim szereg przydatnych informacji na temat testowania API, identyfikowania podatności i ich eliminowania. W książce znalazło się mnóstwo praktycznych przykładów, dzięki którym dowiesz się, jak unikać kontroli uwierzytelniania i autoryzacji, a także jak identyfikować podatności w interfejsach API przy użyciu różnych narzędzi. Nauczysz się też tworzenia rozbudowanych raportów dotyczących wykrytych podatności, a ponadto rekomendowania i stosowania skutecznych strategii ich minimalizowania. Poznasz również strategie zarządzania bezpieczeństwem interfejsów API i dowiesz się, jak je chronić przed najnowszymi zagrożeniami.

W książce:

  • najlepsze praktyki i standardy bezpieczeństwa API
  • testy penetracyjne i ocena podatności API
  • modelowanie zagrożeń i ocena ryzyka w kontekście bezpieczeństwa API
  • techniki unikania wykrycia
  • integracja zabezpieczeń API z przepływem pracy w ramach metodyki DevOps
  • nadzór nad interfejsami API i zarządzanie ryzykiem

Chroń to, co najcenniejsze, i nie daj się zhakować!

O autorce

O recenzentach

Słowo wstępne

Przedmowa

  • Dla kogo przeznaczona jest ta książka?
  • Zawartość książki
  • Jak najlepiej korzystać z książki?
  • Pobieranie plików z przykładowym kodem
  • Konwencje

Część 1. Podstawy zabezpieczeń interfejsów API

  • Rozdział 1. Wprowadzenie do architektury i zabezpieczeń interfejsów API
    • Interfejsy API i ich rola w nowoczesnych aplikacjach
      • Jak działają interfejsy API?
      • Wykorzystanie interfejsów API w nowoczesnych aplikacjach - zalety i korzyści
      • Użycie interfejsów API w rzeczywistych przykładach biznesowych
    • Przegląd zabezpieczeń interfejsów API
      • Dlaczego bezpieczeństwo interfejsów API jest tak istotne?
    • Podstawowe komponenty architektury interfejsów API i protokoły komunikacji
    • Typy interfejsów API i ich zalety
    • Typowe protokoły komunikacyjne i kwestie bezpieczeństwa
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 2. Ewolucja krajobrazu zagrożeń dotyczących interfejsów API i kwestie bezpieczeństwa
    • Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
      • Początki interfejsów API
      • Powstanie Internetu i sieciowych interfejsów API
      • Pojawienie się stylu architektury REST i nowoczesnych interfejsów API
      • Era mikrousług, urządzeń IoT i przetwarzania w chmurze
    • Współczesny krajobraz zagrożeń związanych z interfejsami API
      • Kluczowe kwestie dotyczące bezpieczeństwa interfejsów API w powiększającym się ekosystemie
    • Nowe trendy w zakresie bezpieczeństwa interfejsów API
      • Architektura zerowego zaufania trust w zabezpieczeniach interfejsów API
      • Wykorzystanie technologii blockchain do wzmocnienia bezpieczeństwa interfejsów API
      • Pojawienie się ataków zautomatyzowanych i botów
      • Kryptografia postkwantowa w zabezpieczeniach interfejsów API
      • Bezpieczeństwo architektury bezserwerowej w kontekście bezpieczeństwa interfejsów API
      • Analityka behawioralna i profilowanie zachowań użytkowników w kontekście bezpieczeństwa interfejsów API
    • Wnioski z rzeczywistych naruszeń danych przez interfejsy API
      • Naruszenie danych firmy Uber (2016 r.)
      • Naruszenie danych firmy Equifax (2017 r.)
      • Naruszenie danych firmy MyFitnessPal (2018 r.)
      • Skandal związany z firmami Facebook i Cambridge Analytica (2018 r.)
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 3. Objaśnienie 10 największych zagrożeń dotyczących bezpieczeństwa interfejsów API (według organizacji OWASP)
    • Fundacja OWASP i zestawienie API Security Top 10 - oś czasu
    • Analiza zestawienia OWASP API Security Top 10
      • OWASP API 1 - naruszenie autoryzacji na poziomie obiektu
      • OWASP API 2 - naruszenie uwierzytelniania
      • OWASP API 3 - naruszenie autoryzacji na poziomie właściwości obiektu
      • OWASP API 4 - nieograniczone wykorzystanie zasobów
      • OWASP API 5 - naruszenie autoryzacji na poziomie funkcji
      • OWASP API 6 - nieograniczony dostęp do poufnych procesów biznesowych
      • OWASP API 7 - fałszowanie żądań po stronie serwera
      • OWASP API 8 - błędna konfiguracja zabezpieczeń
      • OWASP API 9 - niewłaściwe zarządzanie magazynem
      • OWASP API 10 - niezabezpieczone korzystanie z interfejsów API
    • Podsumowanie
    • Dodatkowe źródła informacji

Część 2. Ofensywne naruszanie zabezpieczeń interfejsów API

  • Rozdział 4. Strategie i taktyki ataków dotyczących interfejsów API
    • Wymagania techniczne
    • Testowanie zabezpieczeń interfejsów API - przegląd niezbędnego zestawu narzędzi
    • Przegląd i konfiguracja systemu Kali Linux na maszynie wirtualnej
      • Przeglądarka jako narzędzie do testowania bezpieczeństwa interfejsów API
    • Korzystanie z pakietu Burp Suite i ustawienia usługi proxy
      • Omówienie narzędzi pakietu Burp Suite
      • Konfiguracja rozszerzenia FoxyProxy dla przeglądarki Firefox
      • Konfiguracja certyfikatów pakietu Burp Suite
      • Eksploracja funkcji usługi proxy pakietu Burp Suite
      • Konfiguracja narzędzia Postman do testowania interfejsów API i przechwytywanie ruchu za pomocą pakietu Burp Suite
      • Kolekcje narzędzia Postman
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 5. Wykorzystanie luk w interfejsach API
    • Wymagania techniczne
    • Wektory ataku dotyczącego interfejsów API
      • Typy wektorów ataku
    • Ataki z wstrzykiwaniem i danymi losowymi na interfejsy API
      • Ataki z danymi losowymi
      • Ataki ze wstrzykiwaniem
    • Wykorzystywanie luk w interfejsach API związanych z uwierzytelnianiem i autoryzacją
      • Ataki siłowe na hasła
      • Ataki z użyciem tokenów JWT
    • Podsumowanie
  • Rozdział 6. Omijanie elementów kontroli uwierzytelniania i autoryzacji interfejsów API
    • Wymagania techniczne
    • Wprowadzenie do elementów kontroli uwierzytelniania i autoryzacji w interfejsach API
      • Typowe metody uwierzytelniania i autoryzacji w interfejsach API
    • Omijanie elementów kontroli uwierzytelniania użytkowników
    • Omijanie elementów kontroli uwierzytelniania opartego na tokenach
    • Omijanie elementów kontroli uwierzytelniania opartego na kluczach interfejsu API
    • Omijanie elementów kontroli dostępu opartych na rolach i atrybutach
    • Przykłady rzeczywistych ataków z omijaniem zabezpieczeń interfejsów API
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 7. Ataki oparte na technikach weryfikacji danych wejściowych oraz szyfrowania w interfejsach API
    • Wymagania techniczne
    • Elementy kontrolne weryfikacji poprawności danych wejściowych w interfejsach API
    • Techniki omijania elementów kontrolnych weryfikacji poprawności danych w interfejsach API
      • Wstrzykiwanie kodu SQL
      • Ataki XSS
      • Ataki z użyciem danych XML
    • Wprowadzenie do mechanizmów szyfrowania i odszyfrowywania w interfejsach API
    • Techniki unikania mechanizmów szyfrowania i odszyfrowywania interfejsów API
    • Studium przypadków, czyli rzeczywiste przykłady ataków dotyczących szyfrowania w interfejsach API
    • Podsumowanie
    • Dodatkowe źródła informacji

Część 3. Zaawansowane techniki testowania i naruszania zabezpieczeń interfejsów API

  • Rozdział 8. Testy penetracyjne i ocena podatności interfejsów API
    • Znaczenie oceny podatności interfejsów API
    • Rekonesans i footprinting interfejsów API
      • Techniki rekonesansu i footprintingu interfejsów API
    • Skanowanie i wyliczanie elementów interfejsów API
      • Techniki skanowania i wyliczania interfejsów API
    • Techniki wykorzystania podatności interfejsów API w trakcie ataku i po nim
      • Techniki wykorzystania
      • Techniki wykorzystania po dokonaniu ataku
      • Najlepsze praktyki dotyczące oceny podatności interfejsów API oraz testów penetracyjnych
    • Tworzenie raportów dotyczących podatności interfejsu API oraz ich łagodzenie
      • Przyszłość testów penetracyjnych i oceny podatności interfejsów API
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 9. Zaawansowane testowanie interfejsów API: metody, narzędzia i środowiska
    • Wymagania techniczne
    • Zautomatyzowane testowanie interfejsów API z wykorzystaniem sztucznej inteligencji
      • Specjalistyczne narzędzia i środowiska używane do testowania interfejsów API z wykorzystaniem sztucznej inteligencji
      • Inne oparte na sztucznej inteligencji narzędzia do automatyzacji zabezpieczeń
    • Testowanie interfejsów API na dużą skalę z użyciem żądań równoległych
      • Gatling
      • Sposób użycia narzędzia Gatling do testowania interfejsów API na dużą skalę z wykorzystaniem żądań równoległych
    • Zaawansowane techniki pozyskiwania danych z interfejsów API
      • Stronicowanie
      • Ograniczanie liczby żądań
      • Uwierzytelnianie
      • Zawartość dynamiczna
    • Zaawansowane techniki wprowadzania danych losowych związane z testowaniem interfejsów API
      • AFL
      • Przykład zastosowania
    • Środowiska testowania interfejsów API
      • Środowisko RestAssured
      • Środowisko WireMock
      • Środowisko Postman
      • Środowisko Karate DSL
      • Środowisko Citrus
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 10. Wykorzystanie technik obchodzenia
    • Wymagania techniczne
    • Techniki zaciemniania kodu w interfejsach API
      • Zaciemnianie przepływu sterowania
      • Podział kodu
      • Wstrzykiwanie "martwego" kodu
      • Nadmierne wykorzystanie zasobów
    • Techniki wstrzykiwania kodu służące do unikania wykrycia
      • Zanieczyszczanie parametrów
      • Wstrzykiwanie bajtów zerowych
    • Wykorzystanie kodowania i szyfrowania w celu obejścia metod wykrywania
      • Kodowanie
      • Szyfrowanie
      • Kwestie dotyczące metod obrony
    • Steganografia w interfejsach API
      • Zaawansowane przypadki użycia i narzędzia
      • Kwestie dotyczące metod obrony
    • Polimorfizm w interfejsach API
      • Cechy polimorfizmu
      • Narzędzia
      • Kwestie dotyczące metod obrony
    • Wykrywanie technik obchodzenia w interfejsach API i przeciwdziałanie im
      • Kompleksowe rejestrowanie i monitorowanie
      • Analiza behawioralna
      • Wykrywanie oparte na podpisach
      • Dynamiczne generowanie podpisów
      • Uczenie maszynowe i sztuczna inteligencja
      • Praktyki zwiększania bezpieczeństwa ukierunkowane na ludzi
    • Podsumowanie
    • Dodatkowe źródła informacji

Część 4. Zabezpieczenia interfejsów API dla specjalistów technicznych od zarządzania

  • Rozdział 11. Najlepsze praktyki dotyczące projektowania i implementacji bezpiecznych interfejsów API
    • Wymagania techniczne
    • Znaczenie projektowania i implementacji bezpiecznych interfejsów API
    • Projektowanie bezpiecznych interfejsów API
      • Modelowanie zagrożeń
    • Implementacja bezpiecznych interfejsów API
      • Narzędzia
    • Utrzymanie bezpiecznych interfejsów API
      • Narzędzia
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 12. Wyzwania i rozważania dotyczące zabezpieczeń interfejsów API w dużych przedsiębiorstwach
    • Wymagania techniczne
    • Zarządzanie bezpieczeństwem w różnorodnym ekosystemie interfejsów API
    • Równoważenie bezpieczeństwa i użyteczności
      • Wyzwania
    • Ochrona starszych interfejsów API
      • Zastosowanie bram interfejsów API
      • Implementowanie zapór sieciowych aplikacji internetowych
      • Regularne audyty zabezpieczeń
      • Regularne aktualizacje i poprawki
      • Monitorowanie i rejestrowanie aktywności
      • Szyfrowanie danych
    • Tworzenie bezpiecznych interfejsów API na potrzeby integracji z podmiotami zewnętrznymi
    • Monitorowanie bezpieczeństwa i reagowanie na incydenty w przypadku interfejsów API
      • Monitorowanie zabezpieczeń
      • Reagowanie na incydenty
    • Podsumowanie
    • Dodatkowe źródła informacji
  • Rozdział 13. Wprowadzanie inicjatyw związanych ze skutecznym nadzorem nad interfejsami API oraz z zarządzaniem ryzykiem
    • Nadzór nad interfejsami API i zarządzania ryzykiem
      • Kluczowe elementy nadzoru nad interfejsami API i zarządzania ryzykiem
    • Ustanawianie solidnych zasad bezpieczeństwa interfejsów API
      • Określenie celów i zakresu
      • Identyfikacja wymagań dotyczących bezpieczeństwa
      • Uwierzytelnianie i autoryzacja
      • Szyfrowanie danych
      • Weryfikacja i oczyszczanie danych wejściowych
      • Rejestrowanie i monitorowanie
      • Zgodność i nadzór
    • Przeprowadzanie skutecznych ocen ryzyka w przypadku interfejsów API
      • Elementy ryzyka powiązane z interfejsami API
      • Metody i struktury
      • Definiowanie zakresu
      • Identyfikacja i analiza ryzyka
      • Ustalanie priorytetów elementów ryzyka
      • Strategie minimalizujące
      • Dokumentacja i raportowanie
      • Ciągłe monitorowanie i przegląd
    • Struktury zapewniania zgodności w przypadku bezpieczeństwa interfejsów API
      • Zgodność z regulacjami prawnymi
      • Standardy branżowe
    • Audyty i przeglądy zabezpieczeń interfejsów API
      • Cel i zakres
      • Metody i techniki
      • Zgodność i standardy
      • Identyfikacja podatności i zagrożeń
      • Działanie zaradcze i zalecenia
      • Ciągłe monitorowanie i utrzymywanie
      • Typowy proces audytu i przeglądu
  • Podsumowanie
  • Dodatkowe źródła informacji
  • Title: Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API
  • Author: Confidence Staveley, Christopher Romeo
  • Original title: API Security for White Hat Hackers: Uncover offensive defense strategies and get up to speed with secure API implementation
  • Translation: Piotr Pilch
  • ISBN: 978-83-289-2304-1, 9788328923041
  • Date of issue: 2025-06-03
  • Format: Ebook
  • Item ID: bewapi
  • Publisher: Helion