滿額折
API安全技術與實戰(簡體書)
- 系列名:網絡空間安全技術叢書
- ISBN13:9787111676393
- 出版社:機械工業出版社
- 作者:錢君生
- 裝訂/頁數:平裝/232頁
- 規格:24cm*17cm (高/寬)
- 版次:一版
- 出版日:2021/04/08
相關商品
商品簡介
名人/編輯推薦
目次
商品簡介
隨著API技術的發展和廣泛使用,API安全問題越來越受到人們的重視。《API安全技術與實戰》從API安全的視角出發,介紹了API 技術的發展和變化以及不同API技術中常見的安全漏洞,探討了如何使用自動化安全工具檢測API 安全漏洞、如何使用API安全設計規避漏洞。全書從API安全漏洞基礎知識入手,逐步講解API安全設計、API安全治理等內容,並結合頭部互聯網企業的API安全案例,分析業界API安全的*佳實踐,是國內首本講解API安全知識和技術實戰的專業書籍。
《API安全技術與實戰》適合網絡安全人員、軟件開發人員、系統架構師以及高等院校相關專業師生閱讀學習。
《API安全技術與實戰》適合網絡安全人員、軟件開發人員、系統架構師以及高等院校相關專業師生閱讀學習。
名人/編輯推薦
融合了信息安全行業資深技術專家10多年一線實戰經驗,為IT技術人員提供API安全知識和技術實戰方面的案例講解
目次
出版說明
前言
第1篇 基 礎 篇
第1章 API的前世今生
1.1 什麼是API
1.2 API的發展歷史
1.2.1 Web技術發展的4個階段
1.2.2 現代API的類型劃分
1.3 現代API常用的協議和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技術
1.3.3 GraphQL API技術
1.3.4 SOAP API技術
1.3.5 gRPC API技術
1.3.6 類XML-RPC及其他API技術
1.4 Top N互聯網企業API使用現狀
1.4.1 API開放平臺發展歷程
1.4.2 API在騰訊的使用現狀
1.4.3 API在百度的使用現狀
1.5 小結
第2章 API安全的演變
2.1 API安全現狀
2.1.1 什麼是API安全
2.1.2 API安全問題主要成因
2.1.3 API安全面臨的主要挑戰
2.2 API 安全漏洞類型
2.2.1 常見的API安全漏洞類型
2.2.2 OWASP API安全漏洞類型
2.3 API安全前景與趨勢
2.4 小結
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用過程
3.1.3 OAuth漏洞啟示
3.2 PayPal委託授權漏洞
3.2.1 委託授權漏洞基本信息
3.2.2 委託授權漏洞利用過程
3.2.3 委託授權漏洞啟示
3.3 API KEY洩露漏洞
3.3.1 API KEY洩露漏洞基本信息
3.3.2 API KEY洩露漏洞利用過程
3.3.3 API KEY洩露漏洞啟示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用過程
3.4.3 Hadoop管理API漏洞啟示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用過程
3.5.3 GraphQL API漏洞啟示
3.6 小結
第4章 API安全工具集
4.1 工具分類
4.2 典型工具介紹
4.2.1 API安全小貼士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介紹
4.3.1 自動化工具
4.3.2 經典安全工具
4.3.3 輔助類工具及綜合類工具
4.4 小結
第5章 API滲透測試
5.1 API滲透測試的基本流程
5.1.1 API滲透測試的關鍵點
5.1.2 API滲透測試注意事項
5.2 API滲透測試步驟
5.2.1 信息收集
5.2.2 漏洞發現
5.2.3 漏洞利用
5.2.4 報告撰寫
5.3 API滲透測試的特點
5.3.1 RESTful API類
5.3.2 GraphQL API類
5.3.3 SOAP API類
5.3.4 RPC及其他API類
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介紹
5.4.2 Astra工具使用介紹
5.5 小結
第2篇 設 計 篇
第6章 API安全設計基礎
6.1 API安全設計原則
6.1.1 5A原則
6.1.2 縱深防禦原則
6.2 API安全關鍵技術
6.2.1 API安全技術棧
6.2.2 身份認證技術
6.2.3 授權與訪問控制技術
6.2.4 消息保護技術
6.2.5 日誌審計技術
6.2.6 威脅防護技術
6.3 常用場景安全設計
6.3.1 API安全中南北向流量與東西向流量的概念
6.3.2 API網關與南北向安全設計
6.3.3 微服務與東西向安全設計
6.4 小結
第7章 API身份認證
7.1 身份認證的基本概念
7.1.1 身份認證在API安全中的作用
7.1.2 身份認證技術包含的要素
7.2 常見的身份認證技術
7.2.1 基於HTTP Basic基本認證
7.2.2 基於API KEY簽名認證
7.2.3 基於SOAP消息頭認證
7.2.4 基於Token系列認證
7.2.5 基於數字證書認證
7.3 常見的身份認證漏洞
7.3.1 針對回調URL的攻擊
7.3.2 針對客戶端認證憑據的攻擊
7.3.3 基於JSON數據結構的攻擊
7.3.4 針對OpenID Connect授權範圍的攻擊
7.4 業界最佳實踐
7.4.1 案例之微軟Azure雲 API身份認證
7.4.2 案例之支付寶第三方應用API身份認證
7.5 小結
第8章 API授權與訪問控制
8.1 授權與訪問控制的基本概念
8.1.1 授權的含義
8.1.2 訪問控制的含義
8.2 API授權與訪問控制技術
8.2.1 OAuth 2.0協議
8.2.2 RBAC模型
8.2.3 其他授權與訪問控制技術
8.3 常見的授權與訪問控制漏洞
8.3.1 OAuth 2.0協議相關漏洞
8.3.2 其他類型的授權或訪問控制漏洞
8.4 業界最佳實踐
8.4.1 案例之OAuth在百度開放雲平臺的使用
8.4.2 案例之微信公眾平臺第三方平臺API授權訪問
8.5 小結
第9章 API消息保護
9.1 傳輸層消息保護
9.1.1 TLS安全特性
9.1.2 TLS握手過程
9.1.3 TLS證書使用
9.2 應用層消息保護
9.2.1 JWT及JOSE相關技術
9.2.2 Paseto技術
9.2.3 XML及其他格式消息保護
9.3 常見的消息保護漏洞
9.3.1 JWT校驗機制繞過漏洞
9.3.2 JWT加解密和算法相關漏洞
9.3.3 其他消息保護類型的漏洞
9.4 業界最佳實踐
9.4.1 案例之百度智能小程序OpenCard消息保護
9.4.2 案例之微信支付消息保護
9.5 小結
第3篇 治 理 篇
第10章 API安全與SDL
10.1 SDL簡介
10.1.1 SDL的基本含義
10.1.2 SDL對API安全的意義
10.2 SDL之API安全培訓
前言
第1篇 基 礎 篇
第1章 API的前世今生
1.1 什麼是API
1.2 API的發展歷史
1.2.1 Web技術發展的4個階段
1.2.2 現代API的類型劃分
1.3 現代API常用的協議和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技術
1.3.3 GraphQL API技術
1.3.4 SOAP API技術
1.3.5 gRPC API技術
1.3.6 類XML-RPC及其他API技術
1.4 Top N互聯網企業API使用現狀
1.4.1 API開放平臺發展歷程
1.4.2 API在騰訊的使用現狀
1.4.3 API在百度的使用現狀
1.5 小結
第2章 API安全的演變
2.1 API安全現狀
2.1.1 什麼是API安全
2.1.2 API安全問題主要成因
2.1.3 API安全面臨的主要挑戰
2.2 API 安全漏洞類型
2.2.1 常見的API安全漏洞類型
2.2.2 OWASP API安全漏洞類型
2.3 API安全前景與趨勢
2.4 小結
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用過程
3.1.3 OAuth漏洞啟示
3.2 PayPal委託授權漏洞
3.2.1 委託授權漏洞基本信息
3.2.2 委託授權漏洞利用過程
3.2.3 委託授權漏洞啟示
3.3 API KEY洩露漏洞
3.3.1 API KEY洩露漏洞基本信息
3.3.2 API KEY洩露漏洞利用過程
3.3.3 API KEY洩露漏洞啟示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用過程
3.4.3 Hadoop管理API漏洞啟示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用過程
3.5.3 GraphQL API漏洞啟示
3.6 小結
第4章 API安全工具集
4.1 工具分類
4.2 典型工具介紹
4.2.1 API安全小貼士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介紹
4.3.1 自動化工具
4.3.2 經典安全工具
4.3.3 輔助類工具及綜合類工具
4.4 小結
第5章 API滲透測試
5.1 API滲透測試的基本流程
5.1.1 API滲透測試的關鍵點
5.1.2 API滲透測試注意事項
5.2 API滲透測試步驟
5.2.1 信息收集
5.2.2 漏洞發現
5.2.3 漏洞利用
5.2.4 報告撰寫
5.3 API滲透測試的特點
5.3.1 RESTful API類
5.3.2 GraphQL API類
5.3.3 SOAP API類
5.3.4 RPC及其他API類
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介紹
5.4.2 Astra工具使用介紹
5.5 小結
第2篇 設 計 篇
第6章 API安全設計基礎
6.1 API安全設計原則
6.1.1 5A原則
6.1.2 縱深防禦原則
6.2 API安全關鍵技術
6.2.1 API安全技術棧
6.2.2 身份認證技術
6.2.3 授權與訪問控制技術
6.2.4 消息保護技術
6.2.5 日誌審計技術
6.2.6 威脅防護技術
6.3 常用場景安全設計
6.3.1 API安全中南北向流量與東西向流量的概念
6.3.2 API網關與南北向安全設計
6.3.3 微服務與東西向安全設計
6.4 小結
第7章 API身份認證
7.1 身份認證的基本概念
7.1.1 身份認證在API安全中的作用
7.1.2 身份認證技術包含的要素
7.2 常見的身份認證技術
7.2.1 基於HTTP Basic基本認證
7.2.2 基於API KEY簽名認證
7.2.3 基於SOAP消息頭認證
7.2.4 基於Token系列認證
7.2.5 基於數字證書認證
7.3 常見的身份認證漏洞
7.3.1 針對回調URL的攻擊
7.3.2 針對客戶端認證憑據的攻擊
7.3.3 基於JSON數據結構的攻擊
7.3.4 針對OpenID Connect授權範圍的攻擊
7.4 業界最佳實踐
7.4.1 案例之微軟Azure雲 API身份認證
7.4.2 案例之支付寶第三方應用API身份認證
7.5 小結
第8章 API授權與訪問控制
8.1 授權與訪問控制的基本概念
8.1.1 授權的含義
8.1.2 訪問控制的含義
8.2 API授權與訪問控制技術
8.2.1 OAuth 2.0協議
8.2.2 RBAC模型
8.2.3 其他授權與訪問控制技術
8.3 常見的授權與訪問控制漏洞
8.3.1 OAuth 2.0協議相關漏洞
8.3.2 其他類型的授權或訪問控制漏洞
8.4 業界最佳實踐
8.4.1 案例之OAuth在百度開放雲平臺的使用
8.4.2 案例之微信公眾平臺第三方平臺API授權訪問
8.5 小結
第9章 API消息保護
9.1 傳輸層消息保護
9.1.1 TLS安全特性
9.1.2 TLS握手過程
9.1.3 TLS證書使用
9.2 應用層消息保護
9.2.1 JWT及JOSE相關技術
9.2.2 Paseto技術
9.2.3 XML及其他格式消息保護
9.3 常見的消息保護漏洞
9.3.1 JWT校驗機制繞過漏洞
9.3.2 JWT加解密和算法相關漏洞
9.3.3 其他消息保護類型的漏洞
9.4 業界最佳實踐
9.4.1 案例之百度智能小程序OpenCard消息保護
9.4.2 案例之微信支付消息保護
9.5 小結
第3篇 治 理 篇
第10章 API安全與SDL
10.1 SDL簡介
10.1.1 SDL的基本含義
10.1.2 SDL對API安全的意義
10.2 SDL之API安全培訓
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。