出版說明
前言
第1篇 基 礎(chǔ) 篇
第1章 API的前世今生
1.1 什么是API
1.2 API的發(fā)展歷史
1.2.1 Web技術(shù)發(fā)展的4個(gè)階段
1.2.2 現(xiàn)代API的類型劃分
1.3 現(xiàn)代API常用的協(xié)議和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技術(shù)
1.3.3 GraphQL API技術(shù)
1.3.4 SOAP API技術(shù)
1.3.5 gRPC API技術(shù)
1.3.6 類XML-RPC及其他API技術(shù)
1.4 Top N互聯(lián)網(wǎng)企業(yè)API使用現(xiàn)狀
1.4.1 API開放平臺發(fā)展歷程
1.4.2 API在騰訊的使用現(xiàn)狀
1.4.3 API在百度的使用現(xiàn)狀
1.5 小結(jié)
第2章 API安全的演變
2.1 API安全現(xiàn)狀
2.1.1 什么是API安全
2.1.2 API安全問題主要成因
2.1.3 API安全面臨的主要挑戰(zhàn)
2.2 API 安全漏洞類型
2.2.1 常見的API安全漏洞類型
2.2.2 OWASP API安全漏洞類型
2.3 API安全前景與趨勢
2.4 小結(jié)
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用過程
3.1.3 OAuth漏洞啟示
3.2 PayPal委托授權(quán)漏洞
3.2.1 委托授權(quán)漏洞基本信息
3.2.2 委托授權(quán)漏洞利用過程
3.2.3 委托授權(quán)漏洞啟示
3.3 API KEY泄露漏洞
3.3.1 API KEY泄露漏洞基本信息
3.3.2 API KEY泄露漏洞利用過程
3.3.3 API KEY泄露漏洞啟示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用過程
3.4.3 Hadoop管理API漏洞啟示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用過程
3.5.3 GraphQL API漏洞啟示
3.6 小結(jié)
第4章 API安全工具集
4.1 工具分類
4.2 典型工具介紹
4.2.1 API安全小貼士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介紹
4.3.1 自動化工具
4.3.2 經(jīng)典安全工具
4.3.3 輔助類工具及綜合類工具
4.4 小結(jié)
第5章 API滲透測試
5.1 API滲透測試的基本流程
5.1.1 API滲透測試的關(guān)鍵點(diǎn)
5.1.2 API滲透測試注意事項(xiàng)
5.2 API滲透測試步驟
5.2.1 信息收集
5.2.2 漏洞發(fā)現(xiàn)
5.2.3 漏洞利用
5.2.4 報(bào)告撰寫
5.3 API滲透測試的特點(diǎn)
5.3.1 RESTful API類
5.3.2 GraphQL API類
5.3.3 SOAP API類
5.3.4 RPC及其他API類
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介紹
5.4.2 Astra工具使用介紹
5.5 小結(jié)
第2篇 設(shè) 計(jì) 篇
第6章 API安全設(shè)計(jì)基礎(chǔ)
6.1 API安全設(shè)計(jì)原則
6.1.1 5A原則
6.1.2 縱深防御原則
6.2 API安全關(guān)鍵技術(shù)
6.2.1 API安全技術(shù)棧
6.2.2 身份認(rèn)證技術(shù)
6.2.3 授權(quán)與訪問控制技術(shù)
6.2.4 消息保護(hù)技術(shù)
6.2.5 日志審計(jì)技術(shù)
6.2.6 威脅防護(hù)技術(shù)
6.3 常用場景安全設(shè)計(jì)
6.3.1 API安全中南北向流量與東西向流量的概念
6.3.2 API網(wǎng)關(guān)與南北向安全設(shè)計(jì)
6.3.3 微服務(wù)與東西向安全設(shè)計(jì)
6.4 小結(jié)
第7章 API身份認(rèn)證
7.1 身份認(rèn)證的基本概念
7.1.1 身份認(rèn)證在API安全中的作用
7.1.2 身份認(rèn)證技術(shù)包含的要素
7.2 常見的身份認(rèn)證技術(shù)
7.2.1 基于HTTP Basic基本認(rèn)證
7.2.2 基于API KEY簽名認(rèn)證
7.2.3 基于SOAP消息頭認(rèn)證
7.2.4 基于Token系列認(rèn)證
7.2.5 基于數(shù)字證書認(rèn)證
7.3 常見的身份認(rèn)證漏洞
7.3.1 針對回調(diào)URL的攻擊
7.3.2 針對客戶端認(rèn)證憑據(jù)的攻擊
7.3.3 基于JSON數(shù)據(jù)結(jié)構(gòu)的攻擊
7.3.4 針對OpenID Connect授權(quán)范圍的攻擊
7.4 業(yè)界最佳實(shí)踐
7.4.1 案例之微軟Azure云 API身份認(rèn)證
7.4.2 案例之支付寶第三方應(yīng)用API身份認(rèn)證
7.5 小結(jié)
第8章 API授權(quán)與訪問控制
8.1 授權(quán)與訪問控制的基本概念
8.1.1 授權(quán)的含義
8.1.2 訪問控制的含義
8.2 API授權(quán)與訪問控制技術(shù)
8.2.1 OAuth 2.0協(xié)議
8.2.2 RBAC模型
8.2.3 其他授權(quán)與訪問控制技術(shù)
8.3 常見的授權(quán)與訪問控制漏洞
8.3.1 OAuth 2.0協(xié)議相關(guān)漏洞
8.3.2 其他類型的授權(quán)或訪問控制漏洞
8.4 業(yè)界最佳實(shí)踐
8.4.1 案例之OAuth在百度開放云平臺的使用
8.4.2 案例之微信公眾平臺第三方平臺API授權(quán)訪問
8.5 小結(jié)
第9章 API消息保護(hù)
9.1 傳輸層消息保護(hù)
9.1.1 TLS安全特性
9.1.2 TLS握手過程
9.1.3 TLS證書使用
9.2 應(yīng)用層消息保護(hù)
9.2.1 JWT及JOSE相關(guān)技術(shù)
9.2.2 Paseto技術(shù)
9.2.3 XML及其他格式消息保護(hù)
9.3 常見的消息保護(hù)漏洞
9.3.1 JWT校驗(yàn)機(jī)制繞過漏洞
9.3.2 JWT加解密和算法相關(guān)漏洞
9.3.3 其他消息保護(hù)類型的漏洞
9.4 業(yè)界最佳實(shí)踐
9.4.1 案例之百度智能小程序OpenCard消息保護(hù)
9.4.2 案例之微信支付消息保護(hù)
9.5 小結(jié)
第3篇 治 理 篇
第10章 API安全與SDL
10.1 SDL簡介
10.1.1 SDL的基本含義
10.1.2 SDL對API安全的意義
10.2 SDL之API安全培訓(xùn)