معرفی و دانلود کتاب هک APIها: شکستن رابط‌های برنامه‌ نویسی برنامه کاربردی وب

معرفی کتاب هک APIها: شکستن رابط‌های برنامه‌ نویسی برنامه کاربردی وب

کتاب هک APIها نوشته‌ی کوری بال، در واقع یک دوره‌ی آموزشی با هدف حمله و ناکارآمد کردن سیستم تست امنیت APIهای وب (Web API) است که شما را برای تست نفوذ APIها، دریافت پاداش‌های بالا در برنامه‌های باگ بونتی و در نتیجه ایمن‌تر کردن APIهای خود آماده می‌کند. با مطالعه‌ی این کتاب راهنما خواهید آموخت که APIهای REST و GraphQL چگونه کار می‌کنند و یک آزمایشگاه تست API بسیار کارآمد خواهید ساخت.

درباره‌ی کتاب هک APIها

شاید اگر همین امروز به‌عنوان یک نوجوان 13 ساله در گوگل سرچ کنید که چگونه یک هکر کامپیوتر باشم؟ و با کتاب هک APIها (Hacking APIs) روبه‌رو شوید، احتمالاً مسیر زندگی‌تان تغییر کند. حتی اگر علاقه‌ی خاصی به امنیت API یا ساخت محصولات متقابل API نداشته باشید، آموزه‌های کوری بال (Corey Ball) در این کتاب قطعاً شگفت‌زده‌تان خواهد کرد و شما را به سمت شکستن قفل‌ها پیش خواهد راند. حقیقت این است که برخی از محصولات و خدمات ایجاد شده بر اساس بهره‌برداری از API‌ها، ارزش بسیار بالایی دارند. دقیقاً به همین دلیل تعامل بسیار کمی بین باتجربه‌ها و افراد کم‌تجربه‌تر در این زمینه وجود دارد و باتجربه‌ها ترجیح می‌دهند که تنها خودشان از این میزان ارزش باخبر باشند. به‌هرحال اینکه رمز و رازهای ارزشمند دیرتر با دیگران به اشتراک گذاشته می‌شوند، امری بدیهی‌ست. هکرهای کاربلد، کارشناسان باتجربه و حتی برخی محققان گاهی دست به کارهایی در این زمینه می‌زنند و ردی هم از خود بر جای نمی‌گذارند. به نظر می‌رسد که هیچ‌کس به جز کوری بال، تمایلی برای آموزش به تازه‌کاران ندارد.

در این کتاب راهنمای تخصصی می‌آموزید که APIهای REST و GraphQL دقیقاً چگونه عمل می‌کنند و سپس یک آزمایشگاه تست API کارآمد با Burp Suite و Postman راه می‌اندازید. بعد از آن به ابزارهای مفید برای شناسایی، تجزیه و تحلیل نقطه‌ی پایانی و فازبندی، مانند Kiterunner و OWASP Amass تسلط پیدا خواهید کرد و در مراحل بعدی، حمله‌های متداول را خواهید آموخت، مانند حملاتی که مکانیسم‌های احراز هویت API را که معمولاً در برنامه‌های کاربردی وب از آن‌ها استفاده می‌شود، هدف قرار می‌دهند. کوری بال جنبه‌ی دیگر این حملات را نیز در نظر گرفته و تکنیک‌هایی را برای دور زدن حفاظت‌ها در برابر این حملات به شما خواهد آموخت.

درکتاب هک APIها نُه آزمایشگاه پیش‌فرض برای شما در نظر گرفته شده که در آن‌ها APIهای عمداً آسیب‌پذیر را هدف قرار می‌دهند. در این آزمایشگاه‌ها موارد زیر را تمرین خواهید کرد:

• شمارش کاربران API و نقاط پایانی با استفاده از تکنیک‌های فازی
• استفاده از Postman برای پیدا کردن نقاط آسیب‌پذیرتر به‌دلیل بیش‌ازحد قرار گرفتن در معرض داده‌ها
• انجام یک حمله‌ی JSON Web Token در برابر فرآیند احراز هویت API
• ترکیب چندین تکنیک حمله‌ی API برای انجام تزریق NoSQL
• حمله به GraphQL API برای پیدا کردن آسیب‌پذیری مجوز در سطح شیء شکسته

کوری جی بال کتاب راهنمای هک APIها را برای متخصصان بالقوه‌ای به نگارش درآورده که علاقه دارند اطلاعات پیش‌زمینه‌ای خود را به اطلاعات تخصصی و پیشرفته تبدیل کنند. پس از مطالعه‌ی این کتاب ارزشمند شما آماده خواهید بود که مشکلات API پردرآمدی را که دیگر هکرها قادر به پیدا کردنشان نیستند و به‌سختی یافت می‌شوند، کشف کنید و امنیت برنامه‌ها را در وب بهبود دهید. به جرئت می‌توان ادعا کرد کمتر کسی به این موارد تسلط دارد و راهی بسیار پردرآمد پیش پای شما قرار خواهد گرفت.

انتشارات میعاد اندیشه کتاب هک APIها را با ترجمه‌ی دکتر حسین بلوچیان، دکتر سعید بلوچیان و غزل بلوچیان منتشر کرده و در اختیار علاقه‌مندان حوزه‌ی هک و امنیت شبکه قرار داده است.

نکوداشت‌های کتاب هک APIها

• کوری بال شما را به سفری در چرخه‌ی حیات APIها می‌برد، به‌گونه‌ای که هر لحظه تشنه‌تر می‌شوید تا نه‌تنها اطلاعات بیشتری کسب کنید، بلکه دلتان می‌خواهید آنچه آموخته‌اید را برای دستیابی به هدف قانونی بعدی امتحان کنید. این کتاب هر چیزی که شما نیاز دارید را در خود دارد؛ از مفاهیم گرفته تا مثال‌ها، شناسایی ابزارها و نمایش آن‌ها با جزئیات دقیق! کتاب کوری بال در حکم مادری برای هک کردن API است و باید روی میز کار هر متخصص شبکه‌ای پیدا شود. (کریس رابرتز)
• این کتاب درهای حوزه‌ی هک API را به روی شما باز می‌کند، موضوعی که چندان مورد بررسی قرار نگرفته و به آن توجهی نشده است. کوری بال با استفاده از مثال‌های دنیای واقعی که بر مسائل کنترل دسترسی تأکید می‌کند، به شما کمک می‌کند تا نکات امنیتی APIها را درک کرده و به سازمان‌ها کمک کنید امنیت API خود را بهبود بخشند! (Inon Shkedy, Security Researcher)

کتاب هک APIها برای چه کسانی مناسب است؟

اگر به حوزه‌ی امنیت شبکه و وب علاقه‌مند هستید و می‌خواهید به یک هکر حرفه‌ای تبدیل شوید، پیشنهاد ما را برای مطالعه‌ی این کتاب ارزشمند، از دست ندهید.

در بخشی از کتاب هک APIها: شکستن رابط‌های برنامه‌ نویسی برنامه کاربردی وب می‌خوانیم

مدل‌سازی تهدید آزمون API

مدل‌سازی تهدید، فرآیند استفاده‌شده برای تهیه نقشه حملات به یک فراهم‌کننده API است. اگر یک آزمون نفوذ API را بر اساس تهدید مرتبط با آن مدل نمایید خواهید توانست ابزارها و روش‌های به‌کار گرفته‌شده در حمله را انتخاب نمایید. بهترین آزمون یک API، آزمونی خواهد بود که هم‌تراز حملات واقعی به فراهم‌کننده API باشد.

عامل حمله، حمله‌کننده یا متخاصم API است. متخاصم می‌تواند هر فردی باشد. از عموم افراد استفاده‌کننده از API با حداقل دانش از برنامه‌ی کاربردی تا مشتری استفاده‌کننده از برنامه کاربری، شریک تجاری دغل‌باز یا یک نیروی داخلی که فقط مقدار کمی در مورد برنامه کاربردی اطلاعات دارد. برای انجام یک آزمون که ارزش زیادی برای امنیت API ایجاد می‌نماید، تهیه موارد تخاصمی محتمل به همراه روش‌های هک آن‌ها ایدئال است.

مدل آزمون شما باید دیدگاه عامل حمله را مستقیماً دنبال نماید. این دیدگاه باید اطلاعاتی که شما از هدف می‌گیرید را تعیین نماید. اگر عامل حمله هیچ‌چیزی در مورد API نمی‌داند باید در مورد چگونگی امکان هدف قرار دادن برنامه کاربردی، جست‌وجو نماید. هرچند ممکن است شرکای تجاری دغل‌باز یا افراد داخلی مقدار کمی دانش، بدون نیاز به شناسایی درباره برنامه کاربردی داشته باشند. جعبه سفید، خاکستری و سیاه سه روش آزمون نفوذ هستند.

فهرست مطالب کتاب

فصل صفر: آمادگی برای آزمون‌های امنیت
فصل اول: برنامه‌های کاربردی وب چگونه کار می‌کنند
فصل دوم: کالبدشناسی APIهای وب
فصل سوم: آسیب‌پذیرهای رایج API
فصل چهارم: سیستم هک API
فصل پنجم: راه‌اندازی APIهای آسیب‌پذیر
فصل ششم: اکتشاف
فصل هفتم: تحلیل نقطه پایانی
فصل هشتم: حمله به احراز هویت
فصل نهم: فازینگ
فصل دهم: بهره‌برداری از مجوز
فصل یازدهم: انتساب انبوه
فصل دوازدهم: تزریق
فصل سیزدهم: استفاده از روش‌های فرار و آزمایش محدودیت نرخ
فصل چهاردهم: حمله به GRAPHQL
فصل پانزدهم: نقص داده و پاداش‌های نقص