Książka nigdy nie była używana.
Cena w sklepie to ok. 58 zł.

Spis treści:

Opinie o książce
O autorze
O korektorze merytorycznym
Przedmowa
Podziękowania
Wprowadzenie
___Uroki hakowania internetowych interfejsów API
___Koncepcja książki
___Hakowanie „restauracji” API
Część I Czym jest bezpieczeństwo interfejsów API?
Rozdział 0. Przygotowanie testów bezpieczeństwa
___Uzyskanie upoważnienia
___Modelowanie zagrożeń przed testem interfejsu API
___Jakie cechy interfejsu API należy testować?
___Ograniczenia i wykluczenia
___Raportowanie i testowanie środków zaradczych
___Uwaga dotycząca programów dla łowców nagród
___Podsumowanie
Rozdział 1. Jak działają aplikacje internetowe?
___Podstawy aplikacji internetowych
___Bazy danych w aplikacjach internetowych
___Miejsce interfejsów API
___Podsumowanie
Rozdział 2. Anatomia interfejsu API
___Jak działają internetowe interfejsy API?
___Typy internetowych interfejsów API
___Specyfikacje REST API
___Formaty wymiany danych
___Uwierzytelnianie
___Praktyczne ćwiczenie: badanie interfejsu API Twittera
___Podsumowanie
Rozdział 3. Typowe podatności interfejsów API
___Wycieki informacji
___Wadliwa autoryzacja na poziomie obiektu
___Wadliwa autoryzacja użytkownika
___Nadmierna ekspozycja danych
___Brak zasobów i limitu zapytań
___Wadliwa autoryzacja na poziomie funkcji
___Przypisanie masowe
___Błędna konfiguracja zabezpieczeń
___Wstrzykiwanie danych
___Niewłaściwe zarządzanie zasobami
___Błędy w procedurach biznesowych
___Podsumowanie
Część II Budowanie laboratorium testowania interfejsów API
Rozdział 4. Twój system hakerski
___Kali Linux
___Analiza aplikacji internetowych za pomocą DevTools
___Przechwytywanie i modyfikowanie zapytań za pomocą Burp Suite
___Wysyłanie zapytań za pomocą programu Postman
___Integracja programów Postman i Burp Suite
___Dodatkowe narzędzia
___Podsumowanie
___Ćwiczenie 1. Zliczenie kont użytkowników interfejsu API
Rozdział 5. Przygotowanie podatnych interfejsów API
___Utworzenie hosta z systemem Linux
___Instalacja środowisk Docker i Docker Compose
___Instalacja podatnych aplikacji
___Inne podatne aplikacje
___Hakowanie interfejsów API w serwisach TryHackMe i HackTheBox
___Podsumowanie
___Ć wiczenie 2. Wyszukanie podatnych na ataki interfejsów API
Część III Atakowanie interfejsów API
Rozdział 6. Odkrywanie interfejsów API
___Rekonesans pasywny
___Rekonesans aktywny
___Podsumowanie
___Ćwiczenie 3. Rekonesans aktywny w teście czarnej skrzynki
Rozdział 7. Analiza punktów końcowych
___Pozyskiwanie informacji o zapytaniach
___Konfiguracja uwierzytelnienia w programie Postman
___Analiza funkcjonalności interfejsu
___Wyszukiwanie wycieków informacji
___Wyszukiwanie błędów w konfiguracji zabezpieczeń
___Wyszukiwanie nadmiernej ekspozycji danych
___Wyszukiwanie błędów w procedurach biznesowych
___Podsumowanie
___Ćwiczenie 4. Utworzenie kolekcji crAPI i identyfikacja nadmiernej ekspozycji danych
Rozdział 8. Atakowanie procesu uwierzytelniania użytkowników
___Typowe ataki na procesy uwierzytelniania użytkowników
___Fałszowanie tokenów
___Łamanie tokenów JWT
___Podsumowanie
___Ćwiczenie 5. Łamanie podpisu tokenu JWT w aplikacji crAPI
Rozdział 9. Zakłócanie interfejsu API
___Skuteczne zakłócanie interfejsów API
___Zakłócanie interfejsu wszerz i w głąb
___Testowanie metod HTTP za pomocą programu Wfuzz
___Głębsze zakłócanie interfejsu i omijanie weryfikacji danych wejściowych
___Zakłócanie interfejsu i przełączanie katalogów
___Podsumowanie
___Ćwiczenie 6. Zakłócanie interfejsu wszerz i niewłaściwe zarządzanie zasobami
Rozdział 10. Eksploracja procesu autoryzacji użytkowników
___Identyfikacja podatności BOLA
___Identyfikacja podatności BFLA
___Wskazówki dotyczące hakowania procesu autoryzacji
___Podsumowanie
___Ćwiczenie 7. Lokalizacja pojazdu innego użytkownika
Rozdział 11. Przypisanie masowe
___Identyfikowanie przypisania masowego
___Identyfikacja kluczy
___Testowanie podatności na przypisanie masowe za pomocą programów Arjun i Burp Suite Intruder
___Test podatności BFLA i przypisania masowego
___Podsumowanie
___Ćwiczenie 8. Modyfikacja ceny produktu w sklepie internetowym
Rozdział 12. Wstrzykiwanie danych
___Identyfikacja podatności na wstrzykiwanie danych
___Skrypty międzydomenowe (XSS)
___Skrypty międzyinterfejsowe (XAS)
___Wstrzykiwanie zapytań SQL
___Wstrzykiwanie zapytań NoSQL
___Wstrzykiwanie poleceń systemu operacyjnego
___Podsumowanie
___Ćwiczenie 9. Wyłudzanie kuponów poprzez wstrzykiwanie zapytań NoSQL
Część IV Hakowanie interfejsów API w praktyce
Rozdział 13. Omijanie zabezpieczeń i testowanie limitu zapytań
___Omijanie mechanizmów ochrony
___Testowanie limitu zapytań
___Podsumowanie
Rozdział 14. Atakowanie interfejsu GraphQL API
___Zapytania GraphQL i środowisko IDE
___Aktywny rekonesans aplikacji DVGA
___Inżynieria odwrotna interfejsu GraphQL API
___Analiza interfejsu GraphQL API
___Zakłócanie i wstrzykiwanie poleceń
___Podsumowanie
Rozdział 15. Włamania do interfejsów API i polowania na nagrody
___Włamania
___Polowania na nagrody
___Podsumowanie
Zakończenie
Dodatek A Lista kontrolna hakera
___Metody testowania (rozdział 0)
___Pasywny rekonesans (rozdział 6.)
___Aktywny rekonesans (rozdział 6.)
___Analiza punktu końcowego (rozdział 7.)
___Automatyzacja testów (rozdział 8.)
___Zakłócanie (rozdział 9.)
___Testy procesu autoryzacji (rozdział 10.)
___Testy przypisania masowego (rozdział 11.)
___Testy wstrzykiwania danych (rozdział 12.)
___Testy limitu zapytań (rozdział 13.)
___Techniki omijania zabezpieczeń (rozdział 13.)
Dodatek B Dodatkowe materiały