Bezpieczeństwo API w praktyce. Strategie ofensywno-defensywne, testy penetracyjne i bezpieczna implementacja interfejsów API Sanok

Słowo wstępne: Christopher Romeo, prezes firmy Devici oraz partner generalny w firmie Kerr Ventures Interfejsy API są siłą napędową innowacji w dziedzinie oprogramowania. Umożliwiają płynną komunikację i wymianę danych między różnymi aplikacjami, usługami i systemami. Wzajemna łączność sprawia też jednak, że interfejsy API stają się atrakcyjnym celem dla napastników usiłujących wykorzystać ich podatności i uzyskać dostęp do chronionych danych. Ten kompleksowy podręcznik docenią specjaliści do spraw bezpieczeństwa i projektanci aplikacji. Znajdziesz w nim szereg przydatnych informacji na temat testowania API, identyfikowania podatności i ich eliminowania. W książce znalazło się mnóstwo praktycznych przykładów, dzięki którym dowiesz się, jak unikać kontroli uwierzytelniania i autoryzacji, a także jak identyfikować podatności w interfejsach API przy użyciu różnych narzędzi. Nauczysz się też tworzenia rozbudowanych raportów dotyczących wykrytych podatności, a ponadto rekomendowania i stosowania skutecznych strategii ich minimalizowania. Poznasz również strategie zarządzania bezpieczeństwem interfejsów API i dowiesz się, jak je chronić przed najnowszymi zagrożeniami. W książce: najlepsze praktyki i standardy bezpieczeństwa API testy penetracyjne i ocena podatności API modelowanie zagrożeń i ocena ryzyka w kontekście bezpieczeństwa API techniki unikania wykrycia integracja zabezpieczeń API z przepływem pracy w ramach metodyki DevOps nadzór nad interfejsami API i zarządzanie ryzykiem Chroń to, co najcenniejsze, i nie daj się zhakować! Spis treści: O autorce O recenzentach Słowo wstępne Przedmowa Dla kogo przeznaczona jest ta książka? Zawartość książki Jak najlepiej korzystać z książki? Pobieranie plików z przykładowym kodem Konwencje Część 1. Podstawy zabezpieczeń interfejsów API Rozdział 1. Wprowadzenie do architektury i zabezpieczeń interfejsów API Interfejsy API i ich rola w nowoczesnych aplikacjach Jak działają interfejsy API? Wykorzystanie interfejsów API w nowoczesnych aplikacjach - zalety i korzyści Użycie interfejsów API w rzeczywistych przykładach biznesowych Przegląd zabezpieczeń interfejsów API Dlaczego bezpieczeństwo interfejsów API jest tak istotne? Podstawowe komponenty architektury interfejsów API i protokoły komunikacji Typy interfejsów API i ich zalety Typowe protokoły komunikacyjne i kwestie bezpieczeństwa Podsumowanie Dodatkowe źródła informacji Rozdział 2. Ewolucja krajobrazu zagrożeń dotyczących interfejsów API i kwestie bezpieczeństwa Historyczna perspektywa zagrożeń związanych z bezpieczeństwem interfejsów API Początki interfejsów API Powstanie Internetu i sieciowych interfejsów API Pojawienie się stylu architektury REST i nowoczesnych interfejsów API Era mikrousług, urządzeń IoT i przetwarzania w chmurze Współczesny krajobraz zagrożeń związanych z interfejsami API Kluczowe kwestie dotyczące bezpieczeństwa interfejsów API w powiększającym się ekosystemie Nowe trendy w zakresie bezpieczeństwa interfejsów API Architektura zerowego zaufania trust w zabezpieczeniach interfejsów API Wykorzystanie technologii blockchain do wzmocnienia bezpieczeństwa interfejsów API Pojawienie się ataków zautomatyzowanych i botów Kryptografia postkwantowa w zabezpieczeniach interfejsów API Bezpieczeństwo architektury bezserwerowej w kontekście bezpieczeństwa interfejsów API Analityka behawioralna i profilowanie zachowań użytkowników w kontekście bezpieczeństwa interfejsów API Wnioski z rzeczywistych naruszeń danych przez interfejsy API Naruszenie danych firmy Uber (2016 r.) Naruszenie danych firmy Equifax (2017 r.) Naruszenie danych firmy MyFitnessPal (2018 r.) Skandal związany z firmami Facebook i Cambridge Analytica (2018 r.) Podsumowanie Dodatkowe źródła informacji Rozdział 3. Objaśnienie 10 największych zagrożeń dotyczących bezpieczeństwa interfejsów API (według organizacji OWASP) Fundacja OWASP i zestawienie API Security Top 10 - oś czasu Analiza zestawienia OWASP API Security Top 10 OWASP API 1 - naruszenie autoryzacji na poziomie obiektu OWASP API 2 - naruszenie uwierzytelniania OWASP API 3 - naruszenie autoryzacji na poziomie właściwości obiektu OWASP API 4 - nieograniczone wykorzystanie zasobów OWASP API 5 - naruszenie autoryzacji na poziomie funkcji OWASP API 6 - nieograniczony dostęp do poufnych procesów biznesowych OWASP API 7 - fałszowanie żądań po stronie serwera OWASP API 8 - błędna konfiguracja zabezpieczeń OWASP API 9 - niewłaściwe zarządzanie magazynem OWASP API 10 - niezabezpieczone korzystanie z interfejsów API Podsumowanie Dodatkowe źródła informacji Część 2. Ofensywne naruszanie zabezpieczeń interfejsów API Rozdział 4. Strategie i taktyki ataków dotyczących interfejsów API Wymagania techniczne Testowanie zabezpieczeń interfejsów API - przegląd niezbędnego zestawu narzędzi Przegląd i konfiguracja systemu Kali Linux na maszynie wirtualnej Przeglądarka jako narzędzie do testowania bezpieczeństwa interfejsów API Korzystanie z pakietu Burp Suite i ustawienia usługi proxy Omówienie narzędzi pakietu Burp Suite Konfiguracja rozszerzenia FoxyProxy dla przeglądarki Firefox Konfiguracja certyfikatów pakietu Burp Suite Eksploracja funkcji usługi proxy pakietu Burp Suite Konfiguracja narzędzia Postman do testowania interfejsów API i przechwytywanie ruchu za pomocą pakietu Burp Suite Kolekcje narzędzia Postman Podsumowanie Dodatkowe źródła informacji Rozdział 5. Wykorzystanie luk w interfejsach API Wymagania techniczne Wektory ataku dotyczącego interfejsów API Typy wektorów ataku Ataki z wstrzykiwaniem i danymi losowymi na interfejsy API Ataki z danymi losowymi Ataki ze wstrzykiwaniem Wykorzystywanie luk w interfejsach API związanych z uwierzytelnianiem i autoryzacją Ataki siłowe na hasła Ataki z użyciem tokenów JWT Podsumowanie Rozdział 6. Omijanie elementów kontroli uwierzytelniania i autoryzacji interfejsów API Wymagania techniczne Wprowadzenie do elementów kontroli uwierzytelniania i autoryzacji w interfejsach API Typowe metody uwierzytelniania i autoryzacji w interfejsach API Omijanie elementów kontroli uwierzytelniania użytkowników Omijanie elementów kontroli uwierzytelniania opartego na tokenach Omijanie elementów kontroli uwierzytelniania opartego na kluczach interfejsu API Omijanie elementów kontroli dostępu opartych na rolach i atrybutach Przykłady rzeczywistych ataków z omijaniem zabezpieczeń interfejsów API Podsumowanie Dodatkowe źródła informacji Rozdział 7. Ataki oparte na technikach weryfikacji danych wejściowych oraz szyfrowania w interfejsach API Wymagania techniczne Elementy kontrolne weryfikacji poprawności danych wejściowych w interfejsach API Techniki omijania elementów kontrolnych weryfikacji poprawności danych w interfejsach API Wstrzykiwanie kodu SQL Ataki XSS Ataki z użyciem danych XML Wprowadzenie do mechanizmów szyfrowania i odszyfrowywania w interfejsach API Techniki unikania mechanizmów szyfrowania i odszyfrowywania interfejsów API Studium przypadków, czyli rzeczywiste przykłady ataków dotyczących szyfrowania w interfejsach API Podsumowanie Dodatkowe źródła informacji Część 3. Zaawansowane techniki testowania i naruszania zabezpieczeń interfejsów API Rozdział 8. Testy penetracyjne i ocena podatności interfejsów API Znaczenie oceny podatności interfejsów API Rekonesans i footprinting interfejsów API Techniki rekonesansu i footprintingu interfejsów API Skanowanie i wyliczanie elementów interfejsów API Techniki skanowania i wyliczania interfejsów API Techniki wykorzystania podatności interfejsów API w trakcie ataku i po nim Techniki wykorzystania Techniki wykorzystania po dokonaniu ataku Najlepsze praktyki dotyczące oceny podatności interfejsów API oraz testów penetracyjnych Tworzenie raportów dotyczących podatności interfejsu API oraz ich łagodzenie Przyszłość testów penetracyjnych i oceny podatności interfejsów API Podsumowanie Dodatkowe źródła informacji Rozdział 9. Zaawansowane testowanie interfejsów API: metody, narzędzia i środowiska Wymagania techniczne Zautomatyzowane testowanie interfejsów API z wykorzystaniem sztucznej inteligencji Specjalistyczne narzędzia i środowiska używane do testowania interfejsów API z wykorzystaniem sztucznej inteligencji Inne oparte na sztucznej inteligencji narzędzia do automatyzacji zabezpieczeń Testowanie interfejsów API na dużą skalę z użyciem żądań równoległych Gatling Sposób użycia narzędzia Gatling do testowania interfejsów API na dużą skalę z wykorzystaniem żądań równoległych Zaawansowane techniki pozyskiwania danych z interfejsów API Stronicowanie Ograniczanie liczby żądań Uwierzytelnianie Zawartość dynamiczna Zaawansowane techniki wprowadzania danych losowych związane z testowaniem interfejsów API AFL Przykład zastosowania Środowiska testowania interfejsów API Środowisko RestAssured Środowisko WireMock Środowisko Postman Środowisko Karate DSL Środowisko Citrus Podsumowanie Dodatkowe źródła informacji Rozdział 10. Wykorzystanie technik obchodzenia Wymagania techniczne Techniki zaciemniania kodu w interfejsach API Zaciemnianie przepływu sterowania Podział kodu Wstrzykiwanie "martwego" kodu Nadmierne wykorzystanie zasobów Techniki wstrzykiwania kodu służące do unikania wykrycia Zanieczyszczanie parametrów Wstrzykiwanie bajtów zerowych Wykorzystanie kodowania i szyfrowania w celu obejścia metod wykrywania Kodowanie Szyfrowanie Kwestie dotyczące metod obrony Steganografia w interfejsach API Zaawansowane przypadki użycia i narzędzia Kwestie dotyczące metod obrony Polimorfizm w interfejsach API Cechy polimorfizmu Narzędzia Kwestie dotyczące metod obrony Wykrywanie technik obchodzenia w interfejsach API i przeciwdziałanie im Kompleksowe rejestrowanie i monitorowanie Analiza behawioralna Wykrywanie oparte na podpisach Dynamiczne generowanie podpisów Uczenie maszynowe i sztuczna inteligencja Praktyki zwiększania bezpieczeństwa ukierunkowane na ludzi Podsumowanie Dodatkowe źródła informacji Część 4. Zabezpieczenia interfejsów API dla specjalistów technicznych od zarządzania Rozdział 11. Najlepsze praktyki dotyczące projektowania i implementacji bezpiecznych interfejsów API Wymagania techniczne Znaczenie projektowania i implementacji bezpiecznych interfejsów API Projektowanie bezpiecznych interfejsów API Modelowanie zagrożeń Implementacja bezpiecznych interfejsów API Narzędzia Utrzymanie bezpiecznych interfejsów API Narzędzia Podsumowanie Dodatkowe źródła informacji Rozdział 12. Wyzwania i rozważania dotyczące zabezpieczeń interfejsów API w dużych przedsiębiorstwach Wymagania techniczne Zarządzanie bezpieczeństwem w różnorodnym ekosystemie interfejsów API Równoważenie bezpieczeństwa i użyteczności Wyzwania Ochrona starszych interfejsów API Zastosowanie bram interfejsów API Implementowanie zapór sieciowych aplikacji internetowych Regularne audyty zabezpieczeń Regularne aktualizacje i poprawki Monitorowanie i rejestrowanie aktywności Szyfrowanie danych Tworzenie bezpiecznych interfejsów API na potrzeby integracji z podmiotami zewnętrznymi Monitorowanie bezpieczeństwa i reagowanie na incydenty w przypadku interfejsów API Monitorowanie zabezpieczeń Reagowanie na incydenty Podsumowanie Dodatkowe źródła informacji Rozdział 13. Wprowadzanie inicjatyw związanych ze skutecznym nadzorem nad interfejsami API oraz z zarządzaniem ryzykiem Nadzór nad interfejsami API i zarządzania ryzykiem Kluczowe elementy nadzoru nad interfejsami API i zarządzania ryzykiem Ustanawianie solidnych zasad bezpieczeństwa interfejsów API Określenie celów i zakresu Identyfikacja wymagań dotyczących bezpieczeństwa Uwierzytelnianie i autoryzacja Szyfrowanie danych Weryfikacja i oczyszczanie danych wejściowych Rejestrowanie i monitorowanie Zgodność i nadzór Przeprowadzanie skutecznych ocen ryzyka w przypadku interfejsów API Elementy ryzyka powiązane z interfejsami API Metody i struktury Definiowanie zakresu Identyfikacja i analiza ryzyka Ustalanie priorytetów elementów ryzyka Strategie minimalizujące Dokumentacja i raportowanie Ciągłe monitorowanie i przegląd Struktury zapewniania zgodności w przypadku bezpieczeństwa interfejsów API Zgodność z regulacjami prawnymi Standardy branżowe Audyty i przeglądy zabezpieczeń interfejsów API Cel i zakres Metody i techniki Zgodność i standardy Identyfikacja podatności i zagrożeń Działanie zaradcze i zalecenia Ciągłe monitorowanie i utrzymywanie Typowy proces audytu i przeglądu Podsumowanie Dodatkowe źródła informacji