BEZPIECZEŃSTWO API W PRAKTYCE STRATEGIE

Spis treści
O autorce

O recenzentach

Słowo wstępne

Przedmowa

Dla kogo przeznaczona jest ta książka?
Zawartość książki
Jak najlepiej korzystać z książki?
Pobieranie plików z przykładowym kodem
Konwencje

Część 1. Podstawy zabezpieczeń interfejsów API

Rozdział 1. Wprowadzenie do architektury i zabezpieczeń interfejsów API
Interfejsy API i ich rola w nowoczesnych aplikacjach
Jak działają interfejsy API?
Wykorzystanie interfejsów API w nowoczesnych aplikacjach – zalety i korzyści
Użycie interfejsów API w rzeczywistych przykładach biznesowych
Przegląd zabezpieczeń interfejsów API
Dlaczego bezpieczeństwo interfejsów API jest tak istotne?
Podstawowe komponenty architektury interfejsów API i protokoły komunikacji
Typy interfejsów API i ich zalety
Typowe protokoły komunikacyjne i kwestie bezpieczeństwa
Podsumowanie
Dodatkowe źródła informacji
Rozdział 2. Ewolucja krajobrazu zagrożeń dotyczących interfejsów API i kwestie bezpieczeństwa
Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API
Początki interfejsów API
Powstanie Internetu i sieciowych interfejsów API
Pojawienie się stylu architektury REST i nowoczesnych interfejsów API
Era mikrousług, urządzeń IoT i przetwarzania w chmurze
Współczesny krajobraz zagrożeń związanych z interfejsami API
Kluczowe kwestie dotyczące bezpieczeństwa interfejsów API w powiększającym się ekosystemie
Nowe trendy w zakresie bezpieczeństwa interfejsów API
Architektura zerowego zaufania trust w zabezpieczeniach interfejsów API
Wykorzystanie technologii blockchain do wzmocnienia bezpieczeństwa interfejsów API
Pojawienie się ataków zautomatyzowanych i botów
Kryptografia postkwantowa w zabezpieczeniach interfejsów API
Bezpieczeństwo architektury bezserwerowej w kontekście bezpieczeństwa interfejsów API
Analityka behawioralna i profilowanie zachowań użytkowników w kontekście bezpieczeństwa interfejsów API
Wnioski z rzeczywistych naruszeń danych przez interfejsy API
Naruszenie danych firmy Uber (2016 r.)
Naruszenie danych firmy Equifax (2017 r.)
Naruszenie danych firmy MyFitnessPal (2018 r.)
Skandal związany z firmami Facebook i Cambridge Analytica (2018 r.)
Podsumowanie
Dodatkowe źródła informacji
Rozdział 3. Objaśnienie 10 największych zagrożeń dotyczących bezpieczeństwa interfejsów API (według organizacji OWASP)
Fundacja OWASP i zestawienie API Security Top 10 – oś czasu
Analiza zestawienia OWASP API Security Top 10
OWASP API 1 – naruszenie autoryzacji na poziomie obiektu
OWASP API 2 – naruszenie uwierzytelniania
OWASP API 3 – naruszenie autoryzacji na poziomie właściwości obiektu
OWASP API 4 – nieograniczone wykorzystanie zasobów
OWASP API 5 – naruszenie autoryzacji na poziomie funkcji
OWASP API 6 – nieograniczony dostęp do poufnych procesów biznesowych
OWASP API 7 – fałszowanie żądań po stronie serwera
OWASP API 8 – błędna konfiguracja zabezpieczeń
OWASP API 9 – niewłaściwe zarządzanie magazynem
OWASP API 10 – niezabezpieczone korzystanie z interfejsów API
Podsumowanie
Dodatkowe źródła informacji

Część 2. Ofensywne naruszanie zabezpieczeń interfejsów API

Rozdział 4. Strategie i taktyki ataków dotyczących interfejsów API
Wymagania techniczne
Testowanie zabezpieczeń interfejsów API – przegląd niezbędnego zestawu narzędzi
Przegląd i konfiguracja systemu Kali Linux na maszynie wirtualnej
Przeglądarka jako narzędzie do testowania bezpieczeństwa interfejsów API
Korzystanie z pakietu Burp Suite i ustawienia usługi proxy
Omówienie narzędzi pakietu Burp Suite
Konfiguracja rozszerzenia FoxyProxy dla przeglądarki Firefox
Konfiguracja certyfikatów pakietu Burp Suite
Eksploracja funkcji usługi proxy pakietu Burp Suite
Konfiguracja narzędzia Postman do testowania interfejsów API i przechwytywanie ruchu za pomocą pakietu Burp Suite
Kolekcje narzędzia Postman
Podsumowanie
Dodatkowe źródła informacji
Rozdział 5. Wykorzystanie luk w interfejsach API
Wymagania techniczne
Wektory ataku dotyczącego interfejsów API
Typy wektorów ataku
Ataki z wstrzykiwaniem i danymi losowymi na interfejsy API
Ataki z danymi losowymi
Ataki ze wstrzykiwaniem
Wykorzystywanie luk w interfejsach API związanych z uwierzytelnianiem i autoryzacją
Ataki siłowe na hasła
Ataki z użyciem tokenów JWT
Podsumowanie
Rozdział 6. Omijanie elementów kontroli uwierzytelniania i autoryzacji interfejsów API
Wymagania techniczne
Wprowadzenie do elementów kontroli uwierzytelniania i autoryzacji w interfejsach API
Typowe metody uwierzytelniania i autoryzacji w interfejsach API
Omijanie elementów kontroli uwierzytelniania użytkowników
Omijanie elementów kontroli uwierzytelniania opartego na tokenach
Omijanie elementów kontroli uwierzytelniania opartego na kluczach interfejsu API
Omijanie elementów kontroli dostępu opartych na rolach i atrybutach
Przykłady rzeczywistych ataków z omijaniem zabezpieczeń interfejsów API
Podsumowanie
Dodatkowe źródła informacji
Rozdział 7. Ataki oparte na technikach weryfikacji danych wejściowych oraz szyfrowania w interfejsach API
Wymagania techniczne
Elementy kontrolne weryfikacji poprawności danych wejściowych w interfejsach API
Techniki omijania elementów kontrolnych weryfikacji poprawności danych w interfejsach API
Wstrzykiwanie kodu SQL
Ataki XSS
Ataki z użyciem danych XML
Wprowadzenie do mechanizmów szyfrowania i odszyfrowywania w interfejsach API
Techniki unikania mechanizmów szyfrowania i odszyfrowywania interfejsów API
Studium przypadków, czyli rzeczywiste przykłady ataków dotyczących szyfrowania w interfejsach API
Podsumowanie
Dodatkowe źródła informacji

Część 3. Zaawansowane techniki testowania i naruszania zabezpieczeń interfejsów API

Rozdział 8. Testy penetracyjne i ocena podatności interfejsów API
Znaczenie oceny podatności interfejsów API
Rekonesans i footprinting interfejsów API
Techniki rekonesansu i footprintingu interfejsów API
Skanowanie i wyliczanie elementów interfejsów API
Techniki skanowania i wyliczania interfejsów API
Techniki wykorzystania podatności interfejsów API w trakcie ataku i po nim
Techniki wykorzystania
Techniki wykorzystania po dokonaniu ataku
Najlepsze praktyki dotyczące oceny podatności interfejsów API oraz testów penetracyjnych
Tworzenie raportów dotyczących podatności interfejsu API oraz ich łagodzenie
Przyszłość testów penetracyjnych i oceny podatności interfejsów API
Podsumowanie
Dodatkowe źródła informacji
Rozdział 9. Zaawansowane testowanie interfejsów API: metody, narzędzia i środowiska
Wymagania techniczne
Zautomatyzowane testowanie interfejsów API z wykorzystaniem sztucznej inteligencji
Specjalistyczne narzędzia i środowiska używane do testowania interfejsów API z wykorzystaniem sztucznej inteligencji
Inne oparte na sztucznej inteligencji narzędzia do automatyzacji zabezpieczeń
Testowanie interfejsów API na dużą skalę z użyciem żądań równoległych
Gatling
Sposób użycia narzędzia Gatling do testowania interfejsów API na dużą skalę z wykorzystaniem żądań równoległych
Zaawansowane techniki pozyskiwania danych z interfejsów API
Stronicowanie
Ograniczanie liczby żądań
Uwierzytelnianie
Zawartość dynamiczna
Zaawansowane techniki wprowadzania danych losowych związane z testowaniem interfejsów API
AFL
Przykład zastosowania
Środowiska testowania interfejsów API
Środowisko RestAssured
Środowisko WireMock
Środowisko Postman
Środowisko Karate DSL
Środowisko Citrus
Podsumowanie
Dodatkowe źródła informacji
Rozdział 10. Wykorzystanie technik obchodzenia
Wymagania techniczne
Techniki zaciemniania kodu w interfejsach API
Zaciemnianie przepływu sterowania
Podział kodu
Wstrzykiwanie „martwego” kodu
Nadmierne wykorzystanie zasobów
Techniki wstrzykiwania kodu służące do unikania wykrycia
Zanieczyszczanie parametrów
Wstrzykiwanie bajtów zerowych
Wykorzystanie kodowania i szyfrowania w celu obejścia metod wykrywania
Kodowanie
Szyfrowanie
Kwestie dotyczące metod obrony
Steganografia w interfejsach API
Zaawansowane przypadki użycia i narzędzia
Kwestie dotyczące metod obrony
Polimorfizm w interfejsach API
Cechy polimorfizmu
Narzędzia
Kwestie dotyczące metod obrony
Wykrywanie technik obchodzenia w interfejsach API i przeciwdziałanie im
Kompleksowe rejestrowanie i monitorowanie
Analiza behawioralna
Wykrywanie oparte na podpisach
Dynamiczne generowanie podpisów
Uczenie maszynowe i sztuczna inteligencja
Praktyki zwiększania bezpieczeństwa ukierunkowane na ludzi
Podsumowanie
Dodatkowe źródła informacji

Część 4. Zabezpieczenia interfejsów API dla specjalistów technicznych od zarządzania

Rozdział 11. Najlepsze praktyki dotyczące projektowania i implementacji bezpiecznych interfejsów API
Wymagania techniczne
Znaczenie projektowania i implementacji bezpiecznych interfejsów API
Projektowanie bezpiecznych interfejsów API
Modelowanie zagrożeń
Implementacja bezpiecznych interfejsów API
Narzędzia
Utrzymanie bezpiecznych interfejsów API
Narzędzia
Podsumowanie
Dodatkowe źródła informacji
Rozdział 12. Wyzwania i rozważania dotyczące zabezpieczeń interfejsów API w dużych przedsiębiorstwach
Wymagania techniczne
Zarządzanie bezpieczeństwem w różnorodnym ekosystemie interfejsów API
Równoważenie bezpieczeństwa i użyteczności
Wyzwania
Ochrona starszych interfejsów API
Zastosowanie bram interfejsów API
Implementowanie zapór sieciowych aplikacji internetowych
Regularne audyty zabezpieczeń
Regularne aktualizacje i poprawki
Monitorowanie i rejestrowanie aktywności
Szyfrowanie danych
Tworzenie bezpiecznych interfejsów API na potrzeby integracji z podmiotami zewnętrznymi
Monitorowanie bezpieczeństwa i reagowanie na incydenty w przypadku interfejsów API
Monitorowanie zabezpieczeń
Reagowanie na incydenty
Podsumowanie
Dodatkowe źródła informacji
Rozdział 13. Wprowadzanie inicjatyw związanych ze skutecznym nadzorem nad interfejsami API oraz z zarządzaniem ryzykiem
Nadzór nad interfejsami API i zarządzania ryzykiem
Kluczowe elementy nadzoru nad interfejsami API i zarządzania ryzykiem
Ustanawianie solidnych zasad bezpieczeństwa interfejsów API
Określenie celów i zakresu
Identyfikacja wymagań dotyczących bezpieczeństwa
Uwierzytelnianie i autoryzacja
Szyfrowanie danych
Weryfikacja i oczyszczanie danych wejściowych
Rejestrowanie i monitorowanie
Zgodność i nadzór
Przeprowadzanie skutecznych ocen ryzyka w przypadku interfejsów API
Elementy ryzyka powiązane z interfejsami API
Metody i struktury
Definiowanie zakresu
Identyfikacja i analiza ryzyka
Ustalanie priorytetów elementów ryzyka
Strategie minimalizujące
Dokumentacja i raportowanie
Ciągłe monitorowanie i przegląd
Struktury zapewniania zgodności w przypadku bezpieczeństwa interfejsów API
Zgodność z regulacjami prawnymi
Standardy branżowe
Audyty i przeglądy zabezpieczeń interfejsów API
Cel i zakres
Metody i techniki
Zgodność i standardy
Identyfikacja podatności i zagrożeń
Działanie zaradcze i zalecenia
Ciągłe monitorowanie i utrzymywanie
Typowy proces audytu i przeglądu
Podsumowanie
Dodatkowe źródła informacji