آموزش ابتدا API خود را هک کنید

سرفصل ها و درس ها

مقدمه Introduction

• Age of the API The Age of the API

• ماهیت پنهان امنیت API The Hidden Nature of API Security

• دقیقاً API چیست؟ What Exactly Is an API?

• محدوده این دوره چیست؟ What's the Scope of This Course?

• معرفی مسابقه Supercar Introducing Supercar Showdown

• معرفی برنامه آسیب پذیر موبایل Introducing the Vulnerable Mobile App

• خلاصه Summary

کشف ارتباط دستگاه با API ها Discovering Device Communication With APIs

• ما در حال محافظت از API های خود هستیم؟ Who Are We Protecting Our APIs From?

• پروکسی ترافیک دستگاه از طریق Fiddler Proxying Device Traffic Through Fiddler

• تفسیر داده های گرفته شده در Fiddler Interpreting Captured Data in Fiddler

• رهگیری داده های برنامه تلفن همراه در Fiddler Intercepting Mobile App Data in Fiddler

• از طریق Fiddler اطلاعات بیشتری درباره برنامه های تلفن همراه پیدا کنید Discovering More About Mobile Apps via Fiddler

• فیلتر کردن ترافیک در Fiddler Filtering Traffic in Fiddler

• مکانیسم رهگیری ترافیک جایگزین Alternate Traffic Interception Mechanisms

• خلاصه Summary

Leaky API و Hidden API Leaky APIs and Hidden APIs

• مقدمه Introduction

• کشف API های Leaky Discovering Leaky APIs

• امنیت یک API Leaky Securing a Leaky API

• کشف API های پنهان از طریق Documentation Pages Discovering Hidden APIs via Documentation Pages

• کشف API های پنهان از طریق robots.txt Discovering Hidden APIs via robots.txt

• کشف API های پنهان از طریق Google Discovering Hidden APIs via Google

• امنیت API های پنهان Securing Hidden APIs

• خلاصه Summary

دستکاری API و دستکاری پارامتر API Manipulation and Parameter Tampering

• مقدمه Introduction

• تعریف داده های نامعتبر Defining Untrusted Data

• تغییر ترافیک وب در Fiddler Modifying Web Traffic in Fiddler

• دستکاری منطق برنامه با درخواست دستکاری Manipulating App Logic by Request Tampering

• دستکاری پاسخ Response Tampering

• خلاصه Summary

آسیب پذیری های تأیید اعتبار و مجوز API API Authentication and Authorization Vulnerabilities

• مقدمه Introduction

• شناسایی پایداری احراز هویت Identifying Authentication Persistence

• نقش نشانه ها The Role of Tokens

• یک نشان خودکار در عمل An Auth Token in Practice

• مروری بر کنترلهای مجوز An Overview of Authorization Controls

• شناسایی کنترل های مشتری در مقابل کنترل های سرور Identifying Client Controls vs. Server Controls

• دور زدن کنترل های مجوز مشتری Circumventing Client Authorization Controls

• در حال آزمایش برای مجوز کافی Testing for Insufficient Authorization

• آزمایش برای محافظت از Brute Force Testing for Brute Force Protection

• نقش OpenID Connect و OAuth The Role of OpenID Connect and OAuth

• خلاصه Summary

کار با ترافیک API رمزگذاری شده SSL Working With SSL Encrypted API Traffic

• مقدمه Introduction

• استفاده از اتصال HTTPS با Fiddler MitM'ing an HTTPS Connection With Fiddler

• پیکربندی Fiddler برای رمزگشایی اتصالات رمزگذاری شده Configuring Fiddler to Decrypt Encrypted Connections

• پراکسی کردن ترافیک دستگاه رمزگذاری شده از طریق Fiddler Proxying Encrypted Device Traffic via Fiddler

• رد گواهینامه های نامعتبر Rejecting Invalid Certificates

• شناسایی چک اعتبار سنجی گمشده Identifying a Missing Certificate Validation Check

• بارگیری گواهینامه Fiddler روی دستگاه Loading the Fiddler Certificate on a Device

• رفتار SSL در یک دستگاه در معرض خطر SSL Behavior on a Compromised Device

• شناسایی گواهینامه های نامعتبر Identifying Invalid Certificates

• پیشنهاد ارزش پین کردن گواهی The Value Proposition of Certificate Pinning

• نمایش سنجاق گواهی Demonstrating Certificate Pinning

• خلاصه Summary