API安全技術(shù)與實(shí)戰(zhàn)
定 價(jià):99 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:錢君生�����,楊明�����,韋巍 著
- 出版時(shí)間:2021/4/1
- ISBN:9787111676393
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:232
- 紙張:膠版紙
- 版次:1
- 開本:16開
隨著API技術(shù)的發(fā)展和廣泛使用�����,API安全問(wèn)題越來(lái)越受到人們的重視����������!禔PI安全技術(shù)與實(shí)戰(zhàn)》從API安全的視角出發(fā)���,介紹了API 技術(shù)的發(fā)展和變化以及不同API技術(shù)中常見(jiàn)的安全漏洞,探討了如何使用自動(dòng)化安全工具檢測(cè)API 安全漏洞、如何使用API安全設(shè)計(jì)規(guī)避漏洞����。全書從API安全漏洞基礎(chǔ)知識(shí)入手,逐步講解API安全設(shè)計(jì)����、API安全治理等內(nèi)容��,并結(jié)合頭部互聯(lián)網(wǎng)企業(yè)的API安全案例�,分析業(yè)界API安全的*佳實(shí)踐,是國(guó)內(nèi)首本講解API安全知識(shí)和技術(shù)實(shí)戰(zhàn)的專業(yè)書籍�。
《API安全技術(shù)與實(shí)戰(zhàn)》適合網(wǎng)絡(luò)安全人員�����、軟件開發(fā)人員��、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生閱讀學(xué)習(xí)�。
適讀人群 :網(wǎng)絡(luò)安全人員�����、軟件開發(fā)人員���、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生
《API安全技術(shù)與實(shí)戰(zhàn)》融合了信息安全行業(yè)資深技術(shù)專家10多年一線實(shí)戰(zhàn)經(jīng)驗(yàn)���,采用理論和實(shí)踐相結(jié)合的模式,
深度剖析了API安全漏洞����、API安全設(shè)計(jì)以及API生命周期安全管理等內(nèi)容。語(yǔ)言簡(jiǎn)練���、內(nèi)容實(shí)用,難點(diǎn)處配有二維碼視頻����,使讀者身臨其境,迅速����、深入地掌握各種經(jīng)驗(yàn)和技巧。
對(duì)大多數(shù)IT技術(shù)人員來(lái)說(shuō)����,API這個(gè)詞并不陌生。而對(duì)架構(gòu)師����、研發(fā)工程師、安全工程師來(lái)說(shuō)�,API則更是日常工作中接觸并熟知的內(nèi)容���。從2008年國(guó)內(nèi)API經(jīng)濟(jì)活躍伊始��,各個(gè)互聯(lián)網(wǎng)企業(yè)紛紛構(gòu)建自己的API開放平臺(tái)��,2012年API模式日益成熟����,大量API安全問(wèn)題在2013年之后也逐漸暴露出來(lái)�����。如今,仍可以通過(guò)漏洞平臺(tái)�����、安全大會(huì)議題、企業(yè)安全應(yīng)急響應(yīng)中心看到這些痕跡����。雖然API安全問(wèn)題或安全事件時(shí)有發(fā)生����,但企業(yè)對(duì)API安全的真正重視程度,仍比技術(shù)應(yīng)用落后很多�。這其中固然有企業(yè)的原因,但技術(shù)人員自身API安全知識(shí)的缺乏也是其中的重要因素之一���,再加上已出版的關(guān)于API安全的圖書尤其少,于是作者決定寫一本API安全方面的專業(yè)書籍�����。
1.本書的主要內(nèi)容和特色
本書主要是為IT技術(shù)人員提供API安全知識(shí)和技術(shù)實(shí)戰(zhàn)方面的案例講解���,采用理論和實(shí)踐相結(jié)合的模式��,由基礎(chǔ)篇���、設(shè)計(jì)篇、治理篇三個(gè)部分組成��,為讀者講述API安全的基本概況�、API安全漏洞、API安全設(shè)計(jì)以及API生命周期安全管理等內(nèi)容���。
基礎(chǔ)篇包括第1~5章�。
第1章 API的前世今生 結(jié)合互聯(lián)網(wǎng)技術(shù)的發(fā)展��,介紹API技術(shù)的發(fā)展�。重點(diǎn)圍繞當(dāng)下不同的API技術(shù)�����,如RESTful API技術(shù)���、GraphQL API技術(shù)����、SOAP API技術(shù)等,來(lái)介紹其技術(shù)特點(diǎn)�����。最后����,簡(jiǎn)要講述了頭部互聯(lián)網(wǎng)公司API的使用現(xiàn)狀。
第2章 API安全的演變 以API安全的含義為切入點(diǎn)���,講述API安全關(guān)注的重點(diǎn)內(nèi)容���、API漏洞類型以及API安全的未來(lái)趨勢(shì)�����。
第3章 典型API安全漏洞剖析 從最近三年的安全漏洞案例中��,精心挑選出5個(gè)有代表性的案例��,分別從漏洞基本信息�、漏洞利用過(guò)程��、漏洞啟示三個(gè)方面����,為讀者講述典型的API安全漏洞原理����。
第4章 API安全工具集 結(jié)合API生命周期�,從需求、設(shè)計(jì)����、編碼、測(cè)試、運(yùn)維等角度��,介紹與API安全相關(guān)的工具,并對(duì)部分工具做了重點(diǎn)說(shuō)明���。
第5章 API滲透測(cè)試 參考業(yè)界標(biāo)準(zhǔn)滲透基本流程����,介紹了API滲透測(cè)試過(guò)程中的注意事項(xiàng)和關(guān)鍵點(diǎn)���,并分析了RESTful API���、GraphQL API、SOAP API等API滲透測(cè)試技術(shù)的特點(diǎn)�。最后,通過(guò)案例講述了API安全工具的典型用法���。
設(shè)計(jì)篇包括第6~9章�。
第6章 API安全設(shè)計(jì)基礎(chǔ) 介紹了API安全設(shè)計(jì)技術(shù)棧�,并結(jié)合5A原則和縱深防御原則,對(duì)不同的API安全關(guān)鍵技術(shù)做了簡(jiǎn)要講述����,幫助讀者初步構(gòu)建API安全設(shè)計(jì)的整體概念����。最后�,以API安全中南北向、東西向場(chǎng)景為例��,分別做了導(dǎo)入性的案例分析�����。
第7章 API身份認(rèn)證 從身份認(rèn)證的概念入手����,主要講述了HTTP Basic基本認(rèn)證�、AK/SK認(rèn)證、Token認(rèn)證等API身份認(rèn)證技術(shù)�����,并重點(diǎn)介紹了OpenID Connect身份認(rèn)證協(xié)議及常見(jiàn)安全漏洞��。最后���,結(jié)合微軟Azure云�����、支付寶第三方應(yīng)用公開文檔�,分析了API身份認(rèn)證技術(shù)的安全設(shè)計(jì)細(xì)節(jié)�。
第8章 API授權(quán)與訪問(wèn)控制 結(jié)合授權(quán)與訪問(wèn)控制的基本概念����,重點(diǎn)講述了OAuth 2.0協(xié)議、RBAC模型的相關(guān)流程與設(shè)計(jì)��,分析了常見(jiàn)授權(quán)與訪問(wèn)控制的安全漏洞成因�����。最后���,結(jié)合百度開放云平臺(tái)��、微信公眾平臺(tái)等第三方平臺(tái)公開文檔����,分析了API授權(quán)與訪問(wèn)控制技術(shù)的安全設(shè)計(jì)細(xì)節(jié)����。
第9章 API消息保護(hù) 主要從傳輸層��、應(yīng)用層介紹了消息保護(hù)相關(guān)技術(shù)及常見(jiàn)漏洞�����,如TLS��、JWT����、JOSE��、Paseto技術(shù)等���。最后,結(jié)合百度智能小程序OpenCard��、微信支付的官方文檔��,對(duì)消息保護(hù)過(guò)程進(jìn)行了案例分析���。
治理篇包括第10~13章�。
第10章 API安全與SDL 結(jié)合微軟SDL模型,講述了在API生命周期安全管理中涉及的安全活動(dòng)����,并挑選出了關(guān)鍵的安全活動(dòng)從活動(dòng)實(shí)踐、工具依賴兩個(gè)方面展開敘述��,為下一章做知識(shí)導(dǎo)入���。
第11章 API安全與DevSecOps 從DevSecOps視角���,重點(diǎn)介紹了API安全在工具鏈和自動(dòng)化管理上的實(shí)踐�,比如設(shè)置關(guān)鍵卡點(diǎn)��、引入API網(wǎng)關(guān)��、接入WAF等���。
第12章 API安全與API網(wǎng)關(guān) 從開源API安全產(chǎn)品的角度����,分析API網(wǎng)關(guān)的基本產(chǎn)品組成部分以及上下文關(guān)系��,并對(duì)Kong API網(wǎng)關(guān)、WSO2 API管理平臺(tái)做了重點(diǎn)介紹���。最后���,結(jié)合花椒直播Kong應(yīng)用實(shí)踐做了案例分析。
第13章 API安全與數(shù)據(jù)隱私 從隱私保護(hù)的視角�,結(jié)合數(shù)據(jù)安全的生命周期�,介紹了API安全中如何保護(hù)數(shù)據(jù)隱私���,并結(jié)合Microsoft API 使用條款、京東商家開放平臺(tái)API敏感信息處理兩個(gè)案例��,分析了API安全中的數(shù)據(jù)隱私實(shí)踐���。
2.本書面向的讀者
本書適用于網(wǎng)絡(luò)安全人員�����、軟件開發(fā)人員����、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生閱讀學(xué)習(xí)����。
? 網(wǎng)絡(luò)安全人員:主要是從事Web滲透測(cè)試�、攻防對(duì)抗、SDL運(yùn)營(yíng)等相關(guān)人員�,幫助此類人員快速建立API安全相關(guān)知識(shí)脈絡(luò),構(gòu)建API基礎(chǔ)安全知識(shí)框架����。
? 軟件開發(fā)人員:主要是從事API技術(shù)開發(fā)相關(guān)人員,幫助此類人員厘清API相關(guān)技術(shù)棧和典型安全漏洞�����,能運(yùn)用工具有效提高開發(fā)質(zhì)量�。
? 系統(tǒng)架構(gòu)師:主要是致力于提高系統(tǒng)安全性的架構(gòu)師,能幫助架構(gòu)師有效地厘清API安全技術(shù)����,并通過(guò)案例分析,指導(dǎo)API安全設(shè)計(jì)���。
? 高等院校相關(guān)專業(yè)師生:了解API安全知識(shí)�����,尤其是與API安全技術(shù)相關(guān)的漏洞��、工具�����、協(xié)議�、流程等�。
3.致謝
借本書的出版,感謝我在網(wǎng)絡(luò)安全行業(yè)中工作過(guò)的企業(yè)���,是它們給了我學(xué)習(xí)和鍛煉的機(jī)會(huì)����,尤其是亞信安全的鄭海剛和孫勇�,一位是帶領(lǐng)我進(jìn)入網(wǎng)絡(luò)安全行業(yè)的引路人,另一位則是
錢君生���,科大訊飛集團(tuán)安全技術(shù)專家����,10余年行業(yè)工作經(jīng)驗(yàn)�,主要負(fù)責(zé)安全平臺(tái)研發(fā)、DevSecOps��、安全防護(hù)體系、團(tuán)隊(duì)建設(shè)等工作����,具備豐富的互聯(lián)網(wǎng)安全一線實(shí)戰(zhàn)經(jīng)驗(yàn)����,曾編寫開源網(wǎng)絡(luò)安全圖書《Burp Suite實(shí)戰(zhàn)指南》�。
楊明,資深技術(shù)專家�����,10年以上基礎(chǔ)架構(gòu)安全�����、虛擬化安全��、運(yùn)維安全實(shí)戰(zhàn)經(jīng)驗(yàn)����,曾多次在全國(guó)、省級(jí)信息安全比賽中獲獎(jiǎng)����,目前就職于某金融機(jī)構(gòu)信息技術(shù)中心�,任技術(shù)經(jīng)理。
韋巍,網(wǎng)絡(luò)工程����、系統(tǒng)集成及網(wǎng)絡(luò)安全技術(shù)專家。長(zhǎng)期從事系統(tǒng)集成�、網(wǎng)絡(luò)安全的教學(xué)和科研工作,理論基礎(chǔ)扎實(shí)�����,實(shí)戰(zhàn)經(jīng)驗(yàn)豐富���。完成軟件著作權(quán)數(shù)十項(xiàng)��,參與多本高校網(wǎng)絡(luò)工程教材的編寫工作�。
出版說(shuō)明
前言
第1篇 基 礎(chǔ) 篇
第1章 API的前世今生
1.1 什么是API
1.2 API的發(fā)展歷史
1.2.1 Web技術(shù)發(fā)展的4個(gè)階段
1.2.2 現(xiàn)代API的類型劃分
1.3 現(xiàn)代API常用的協(xié)議和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技術(shù)
1.3.3 GraphQL API技術(shù)
1.3.4 SOAP API技術(shù)
1.3.5 gRPC API技術(shù)
1.3.6 類XML-RPC及其他API技術(shù)
1.4 Top N互聯(lián)網(wǎng)企業(yè)API使用現(xiàn)狀
1.4.1 API開放平臺(tái)發(fā)展歷程
1.4.2 API在騰訊的使用現(xiàn)狀
1.4.3 API在百度的使用現(xiàn)狀
1.5 小結(jié)
第2章 API安全的演變
2.1 API安全現(xiàn)狀
2.1.1 什么是API安全
2.1.2 API安全問(wèn)題主要成因
2.1.3 API安全面臨的主要挑戰(zhàn)
2.2 API 安全漏洞類型
2.2.1 常見(jiàn)的API安全漏洞類型
2.2.2 OWASP API安全漏洞類型
2.3 API安全前景與趨勢(shì)
2.4 小結(jié)
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用過(guò)程
3.1.3 OAuth漏洞啟示
3.2 PayPal委托授權(quán)漏洞
3.2.1 委托授權(quán)漏洞基本信息
3.2.2 委托授權(quán)漏洞利用過(guò)程
3.2.3 委托授權(quán)漏洞啟示
3.3 API KEY泄露漏洞
3.3.1 API KEY泄露漏洞基本信息
3.3.2 API KEY泄露漏洞利用過(guò)程
3.3.3 API KEY泄露漏洞啟示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用過(guò)程
3.4.3 Hadoop管理API漏洞啟示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用過(guò)程
3.5.3 GraphQL API漏洞啟示
3.6 小結(jié)
第4章 API安全工具集
4.1 工具分類
4.2 典型工具介紹
4.2.1 API安全小貼士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介紹
4.3.1 自動(dòng)化工具
4.3.2 經(jīng)典安全工具
4.3.3 輔助類工具及綜合類工具
4.4 小結(jié)
第5章 API滲透測(cè)試
5.1 API滲透測(cè)試的基本流程
5.1.1 API滲透測(cè)試的關(guān)鍵點(diǎn)
5.1.2 API滲透測(cè)試注意事項(xiàng)
5.2 API滲透測(cè)試步驟
5.2.1 信息收集
5.2.2 漏洞發(fā)現(xiàn)
5.2.3 漏洞利用
5.2.4 報(bào)告撰寫
5.3 API滲透測(cè)試的特點(diǎn)
5.3.1 RESTful API類
5.3.2 GraphQL API類
5.3.3 SOAP API類
5.3.4 RPC及其他API類
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介紹
5.4.2 Astra工具使用介紹
5.5 小結(jié)
第2篇 設(shè) 計(jì) 篇
第6章 API安全設(shè)計(jì)基礎(chǔ)
6.1 API安全設(shè)計(jì)原則
6.1.1 5A原則
6.1.2 縱深防御原則
6.2 API安全關(guān)鍵技術(shù)
6.2.1 API安全技術(shù)棧
6.2.2 身份認(rèn)證技術(shù)
6.2.3 授權(quán)與訪問(wèn)控制技術(shù)
6.2.4 消息保護(hù)技術(shù)
6.2.5 日志審計(jì)技術(shù)
6.2.6 威脅防護(hù)技術(shù)
6.3 常用場(chǎng)景安全設(shè)計(jì)
6.3.1 API安全中南北向流量與東西向流量的概念
6.3.2 API網(wǎng)關(guān)與南北向安全設(shè)計(jì)
6.3.3 微服務(wù)與東西向安全設(shè)計(jì)
6.4 小結(jié)
第7章 API身份認(rèn)證
7.1 身份認(rèn)證的基本概念
7.1.1 身份認(rèn)證在API安全中的作用
7.1.2 身份認(rèn)證技術(shù)包含的要素
7.2 常見(jiàn)的身份認(rèn)證技術(shù)
7.2.1 基于HTTP Basic基本認(rèn)證
7.2.2 基于API KEY簽名認(rèn)證
7.2.3 基于SOAP消息頭認(rèn)證
7.2.4 基于Token系列認(rèn)證
7.2.5 基于數(shù)字證書認(rèn)證
7.3 常見(jiàn)的身份認(rèn)證漏洞
7.3.1 針對(duì)回調(diào)URL的攻擊
7.3.2 針對(duì)客戶端認(rèn)證憑據(jù)的攻擊
7.3.3 基于JSON數(shù)據(jù)結(jié)構(gòu)的攻擊
7.3.4 針對(duì)OpenID Connect授權(quán)范圍的攻擊
7.4 業(yè)界最佳實(shí)踐
7.4.1 案例之微軟Azure云 API身份認(rèn)證
7.4.2 案例之支付寶第三方應(yīng)用API身份認(rèn)證
7.5 小結(jié)
第8章 API授權(quán)與訪問(wèn)控制
8.1 授權(quán)與訪問(wèn)控制的基本概念
8.1.1 授權(quán)的含義
8.1.2 訪問(wèn)控制的含義
8.2 API授權(quán)與訪問(wèn)控制技術(shù)
8.2.1 OAuth 2.0協(xié)議
8.2.2 RBAC模型
8.2.3 其他授權(quán)與訪問(wèn)控制技術(shù)
8.3 常見(jiàn)的授權(quán)與訪問(wèn)控制漏洞
8.3.1 OAuth 2.0協(xié)議相關(guān)漏洞
8.3.2 其他類型的授權(quán)或訪問(wèn)控制漏洞
8.4 業(yè)界最佳實(shí)踐
8.4.1 案例之OAuth在百度開放云平臺(tái)的使用
8.4.2 案例之微信公眾平臺(tái)第三方平臺(tái)API授權(quán)訪問(wèn)
8.5 小結(jié)
第9章 API消息保護(hù)
9.1 傳輸層消息保護(hù)
9.1.1 TLS安全特性
9.1.2 TLS握手過(guò)程
9.1.3 TLS證書使用
9.2 應(yīng)用層消息保護(hù)
9.2.1 JWT及JOSE相關(guān)技術(shù)
9.2.2 Paseto技術(shù)
9.2.3 XML及其他格式消息保護(hù)
9.3 常見(jiàn)的消息保護(hù)漏洞
9.3.1 JWT校驗(yàn)機(jī)制繞過(guò)漏洞
9.3.2 JWT加解密和算法相關(guān)漏洞
9.3.3 其他消息保護(hù)類型的漏洞
9.4 業(yè)界最佳實(shí)踐
9.4.1 案例之百度智能小程序OpenCard消息保護(hù)
9.4.2 案例之微信支付消息保護(hù)
9.5 小結(jié)
第3篇 治 理 篇
第10章 API安全與SDL
10.1 SDL簡(jiǎn)介
10.1.1 SDL的基本含義
10.1.2 SDL對(duì)API安全的意義
10.2 SDL之API安全培訓(xùn)
書單推薦
