Безопасность API: атака и защита
- Оригинальное название: API Security: Offence and Defence
- Источник: Hakin9
- Дата релиза: 2017
- Продолжительность: 18 часов
- Формат: видео
- Язык курса: английский
API сегодня используются в каждом веб/мобильном/десктопном приложении. Но как и у любой другой технологии, у них есть сильные и слабые стороны. В этом курсе мы сфокусируемся на REST API и рассмотрим техники, используемые для обнаружения уязвимостей и их эксплуатации, а также меры противодействия, используемые разработчиками.
Что изучим?
- Введение в API и REST API
- REST API: отпечатки/фаззинг
- API аутентификация (Basic, JWT, OAuth)
- Базовая аутентификация, дайджест-аутентификация, JWT (веб-токены JSON) - реализация и атаки, взлом секретного ключа JWT, обход проверки хеша JWT
- OAuth 1, 1.0a, 2 - стандарты и реализация
- Кража токенов доступа OAuth
- CSRF-атаки на OAuth
- Атаки на поток авторизации
- Open Redirect в OAuth
- DoS-атаки на API
- Брутфорс-атаки на API
- Разработка атаки на API (поиск Dev API и его использование для обхода защиты на продакшн-API)
- Традиционные атаки (XSS, SQLI, IDOR и проч.)