Hacking APIs
Breaking Web Application Programming Interfaces
L'approche structurée de Corey Ball pour attaquer les APIs REST et GraphQL : énumération, défauts d'auth, business logic, mass assignment, et le harnais de test autour.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Corey J. Ball
- Publié
- 2022
- Éditeur
- No Starch Press
- Pages
- 368
- Langue
- English
À lire si
Pentesters et chasseurs de bug bounty qui ont réalisé que la majeure partie de la surface d'attaque en production est maintenant API, pas HTML. L'approche structurée de Ball couvre REST, découverte GraphQL, BOLA, mass assignment, abus JWT et le tooling opérationnel autour.
À éviter si
Lecteurs qui veulent de la sécurité web généraliste ; le livre est focalisé API et suppose que vous comprenez déjà les bugs web classe OWASP.
Points clés
- La surface d'attaque API est dramatiquement sous-exploitée comparée à la surface d'attaque HTML ; pour la plupart des programmes bug bounty publics, l'API est où les bounties se cachent.
- BOLA (broken object-level authorization) est la classe de bug API dominante et celle qui paie le mieux ; le cadrage de Ball est le plus net en imprimé.
- Burp Suite Professional + Postman + un pipeline de recon custom est le toolset pratique ; le livre justifie le choix et vous montre comment les utiliser ensemble.
Notes
À coupler avec Black Hat GraphQL (Aleks/Farhi) pour la deep dive GraphQL-spécifique et avec Real-World Bug Hunting (Yaworski) pour les études de cas. Le cours APIsec University de Ball est l'étape suivante naturelle une fois le livre fini. Lecture obligatoire pour tout chasseur de bugs qui n'a pas encore remarqué que l'API a ses propres bugs que le HTML n'a pas.
Que lire avant
Que lire avant Hacking APIs →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2011
The Web Application Hacker's Handbook
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
Débutant · 2021
Bug Bounty Bootcamp
La marche pragmatique de Vickie Li à travers le workflow bug-bounty, du choix d'un programme et de la recon jusqu'au reporting de findings qui paient réellement.
Que lire ensuite
Que lire après Hacking APIs →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2011
The Web Application Hacker's Handbook
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
Avancé · 2011
The Tangled Web
Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.
Explorer des livres similaires
Alternatives à Hacking APIs →Intermédiaire · 2023
Black Hat GraphQL
Aleks et Farhi sur attaquer GraphQL spécifiquement : abus d'introspection, batching, attaques profondeur et complexité, défauts d'auth, et les différences avec REST qui font des pentests GraphQL leur propre discipline.
Intermédiaire · 2011
The Web Application Hacker's Handbook
La référence exhaustive du pentest applicatif web, complète mais devenue de plus en plus un document historique.
Intermédiaire · 2021
Real-World Cryptography
Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.