定 價:99 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
- 作者:錢君生,楊明,韋巍 著
- 出版時間:2021/4/1
- ISBN:9787111676393
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:232
- 紙張:膠版紙
- 版次:1
- 開本:16開
隨著API技術(shù)的發(fā)展和廣泛使用,API安全問題越來越受到人們的重視!禔PI安全技術(shù)與實戰(zhàn)》從API安全的視角出發(fā),介紹了API 技術(shù)的發(fā)展和變化以及不同API技術(shù)中常見的安全漏洞,探討了如何使用自動化安全工具檢測API 安全漏洞、如何使用API安全設(shè)計規(guī)避漏洞。全書從API安全漏洞基礎(chǔ)知識入手,逐步講解API安全設(shè)計、API安全治理等內(nèi)容,并結(jié)合頭部互聯(lián)網(wǎng)企業(yè)的API安全案例,分析業(yè)界API安全的*佳實踐,是國內(nèi)首本講解API安全知識和技術(shù)實戰(zhàn)的專業(yè)書籍。
《API安全技術(shù)與實戰(zhàn)》適合網(wǎng)絡(luò)安全人員、軟件開發(fā)人員、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生閱讀學(xué)習(xí)。
適讀人群 :網(wǎng)絡(luò)安全人員、軟件開發(fā)人員、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生
《API安全技術(shù)與實戰(zhàn)》融合了信息安全行業(yè)資深技術(shù)專家10多年一線實戰(zhàn)經(jīng)驗,采用理論和實踐相結(jié)合的模式,
深度剖析了API安全漏洞、API安全設(shè)計以及API生命周期安全管理等內(nèi)容。語言簡練、內(nèi)容實用,難點處配有二維碼視頻,使讀者身臨其境,迅速、深入地掌握各種經(jīng)驗和技巧。
對大多數(shù)IT技術(shù)人員來說,API這個詞并不陌生。而對架構(gòu)師、研發(fā)工程師、安全工程師來說,API則更是日常工作中接觸并熟知的內(nèi)容。從2008年國內(nèi)API經(jīng)濟活躍伊始,各個互聯(lián)網(wǎng)企業(yè)紛紛構(gòu)建自己的API開放平臺,2012年API模式日益成熟,大量API安全問題在2013年之后也逐漸暴露出來。如今,仍可以通過漏洞平臺、安全大會議題、企業(yè)安全應(yīng)急響應(yīng)中心看到這些痕跡。雖然API安全問題或安全事件時有發(fā)生,但企業(yè)對API安全的真正重視程度,仍比技術(shù)應(yīng)用落后很多。這其中固然有企業(yè)的原因,但技術(shù)人員自身API安全知識的缺乏也是其中的重要因素之一,再加上已出版的關(guān)于API安全的圖書尤其少,于是作者決定寫一本API安全方面的專業(yè)書籍。
1.本書的主要內(nèi)容和特色
本書主要是為IT技術(shù)人員提供API安全知識和技術(shù)實戰(zhàn)方面的案例講解,采用理論和實踐相結(jié)合的模式,由基礎(chǔ)篇、設(shè)計篇、治理篇三個部分組成,為讀者講述API安全的基本概況、API安全漏洞、API安全設(shè)計以及API生命周期安全管理等內(nèi)容。
基礎(chǔ)篇包括第1~5章。
第1章 API的前世今生 結(jié)合互聯(lián)網(wǎng)技術(shù)的發(fā)展,介紹API技術(shù)的發(fā)展。重點圍繞當(dāng)下不同的API技術(shù),如RESTful API技術(shù)、GraphQL API技術(shù)、SOAP API技術(shù)等,來介紹其技術(shù)特點。最后,簡要講述了頭部互聯(lián)網(wǎng)公司API的使用現(xiàn)狀。
第2章 API安全的演變 以API安全的含義為切入點,講述API安全關(guān)注的重點內(nèi)容、API漏洞類型以及API安全的未來趨勢。
第3章 典型API安全漏洞剖析 從最近三年的安全漏洞案例中,精心挑選出5個有代表性的案例,分別從漏洞基本信息、漏洞利用過程、漏洞啟示三個方面,為讀者講述典型的API安全漏洞原理。
第4章 API安全工具集 結(jié)合API生命周期,從需求、設(shè)計、編碼、測試、運維等角度,介紹與API安全相關(guān)的工具,并對部分工具做了重點說明。
第5章 API滲透測試 參考業(yè)界標(biāo)準(zhǔn)滲透基本流程,介紹了API滲透測試過程中的注意事項和關(guān)鍵點,并分析了RESTful API、GraphQL API、SOAP API等API滲透測試技術(shù)的特點。最后,通過案例講述了API安全工具的典型用法。
設(shè)計篇包括第6~9章。
第6章 API安全設(shè)計基礎(chǔ) 介紹了API安全設(shè)計技術(shù)棧,并結(jié)合5A原則和縱深防御原則,對不同的API安全關(guān)鍵技術(shù)做了簡要講述,幫助讀者初步構(gòu)建API安全設(shè)計的整體概念。最后,以API安全中南北向、東西向場景為例,分別做了導(dǎo)入性的案例分析。
第7章 API身份認(rèn)證 從身份認(rèn)證的概念入手,主要講述了HTTP Basic基本認(rèn)證、AK/SK認(rèn)證、Token認(rèn)證等API身份認(rèn)證技術(shù),并重點介紹了OpenID Connect身份認(rèn)證協(xié)議及常見安全漏洞。最后,結(jié)合微軟Azure云、支付寶第三方應(yīng)用公開文檔,分析了API身份認(rèn)證技術(shù)的安全設(shè)計細(xì)節(jié)。
第8章 API授權(quán)與訪問控制 結(jié)合授權(quán)與訪問控制的基本概念,重點講述了OAuth 2.0協(xié)議、RBAC模型的相關(guān)流程與設(shè)計,分析了常見授權(quán)與訪問控制的安全漏洞成因。最后,結(jié)合百度開放云平臺、微信公眾平臺等第三方平臺公開文檔,分析了API授權(quán)與訪問控制技術(shù)的安全設(shè)計細(xì)節(jié)。
第9章 API消息保護(hù) 主要從傳輸層、應(yīng)用層介紹了消息保護(hù)相關(guān)技術(shù)及常見漏洞,如TLS、JWT、JOSE、Paseto技術(shù)等。最后,結(jié)合百度智能小程序OpenCard、微信支付的官方文檔,對消息保護(hù)過程進(jìn)行了案例分析。
治理篇包括第10~13章。
第10章 API安全與SDL 結(jié)合微軟SDL模型,講述了在API生命周期安全管理中涉及的安全活動,并挑選出了關(guān)鍵的安全活動從活動實踐、工具依賴兩個方面展開敘述,為下一章做知識導(dǎo)入。
第11章 API安全與DevSecOps 從DevSecOps視角,重點介紹了API安全在工具鏈和自動化管理上的實踐,比如設(shè)置關(guān)鍵卡點、引入API網(wǎng)關(guān)、接入WAF等。
第12章 API安全與API網(wǎng)關(guān) 從開源API安全產(chǎn)品的角度,分析API網(wǎng)關(guān)的基本產(chǎn)品組成部分以及上下文關(guān)系,并對Kong API網(wǎng)關(guān)、WSO2 API管理平臺做了重點介紹。最后,結(jié)合花椒直播Kong應(yīng)用實踐做了案例分析。
第13章 API安全與數(shù)據(jù)隱私 從隱私保護(hù)的視角,結(jié)合數(shù)據(jù)安全的生命周期,介紹了API安全中如何保護(hù)數(shù)據(jù)隱私,并結(jié)合Microsoft API 使用條款、京東商家開放平臺API敏感信息處理兩個案例,分析了API安全中的數(shù)據(jù)隱私實踐。
2.本書面向的讀者
本書適用于網(wǎng)絡(luò)安全人員、軟件開發(fā)人員、系統(tǒng)架構(gòu)師以及高等院校相關(guān)專業(yè)師生閱讀學(xué)習(xí)。
? 網(wǎng)絡(luò)安全人員:主要是從事Web滲透測試、攻防對抗、SDL運營等相關(guān)人員,幫助此類人員快速建立API安全相關(guān)知識脈絡(luò),構(gòu)建API基礎(chǔ)安全知識框架。
? 軟件開發(fā)人員:主要是從事API技術(shù)開發(fā)相關(guān)人員,幫助此類人員厘清API相關(guān)技術(shù)棧和典型安全漏洞,能運用工具有效提高開發(fā)質(zhì)量。
? 系統(tǒng)架構(gòu)師:主要是致力于提高系統(tǒng)安全性的架構(gòu)師,能幫助架構(gòu)師有效地厘清API安全技術(shù),并通過案例分析,指導(dǎo)API安全設(shè)計。
? 高等院校相關(guān)專業(yè)師生:了解API安全知識,尤其是與API安全技術(shù)相關(guān)的漏洞、工具、協(xié)議、流程等。
3.致謝
借本書的出版,感謝我在網(wǎng)絡(luò)安全行業(yè)中工作過的企業(yè),是它們給了我學(xué)習(xí)和鍛煉的機會,尤其是亞信安全的鄭海剛和孫勇,一位是帶領(lǐng)我進(jìn)入網(wǎng)絡(luò)安全行業(yè)的引路人,另一位則是
錢君生,科大訊飛集團安全技術(shù)專家,10余年行業(yè)工作經(jīng)驗,主要負(fù)責(zé)安全平臺研發(fā)、DevSecOps、安全防護(hù)體系、團隊建設(shè)等工作,具備豐富的互聯(lián)網(wǎng)安全一線實戰(zhàn)經(jīng)驗,曾編寫開源網(wǎng)絡(luò)安全圖書《Burp Suite實戰(zhàn)指南》。
楊明,資深技術(shù)專家,10年以上基礎(chǔ)架構(gòu)安全、虛擬化安全、運維安全實戰(zhàn)經(jīng)驗,曾多次在全國、省級信息安全比賽中獲獎,目前就職于某金融機構(gòu)信息技術(shù)中心,任技術(shù)經(jīng)理。
韋巍,網(wǎng)絡(luò)工程、系統(tǒng)集成及網(wǎng)絡(luò)安全技術(shù)專家。長期從事系統(tǒng)集成、網(wǎng)絡(luò)安全的教學(xué)和科研工作,理論基礎(chǔ)扎實,實戰(zhàn)經(jīng)驗豐富。完成軟件著作權(quán)數(shù)十項,參與多本高校網(wǎng)絡(luò)工程教材的編寫工作。
出版說明
前言
第1篇 基 礎(chǔ) 篇
第1章 API的前世今生
1.1 什么是API
1.2 API的發(fā)展歷史
1.2.1 Web技術(shù)發(fā)展的4個階段
1.2.2 現(xiàn)代API的類型劃分
1.3 現(xiàn)代API常用的協(xié)議和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技術(shù)
1.3.3 GraphQL API技術(shù)
1.3.4 SOAP API技術(shù)
1.3.5 gRPC API技術(shù)
1.3.6 類XML-RPC及其他API技術(shù)
1.4 Top N互聯(lián)網(wǎng)企業(yè)API使用現(xiàn)狀
1.4.1 API開放平臺發(fā)展歷程
1.4.2 API在騰訊的使用現(xiàn)狀
1.4.3 API在百度的使用現(xiàn)狀
1.5 小結(jié)
第2章 API安全的演變
2.1 API安全現(xiàn)狀
2.1.1 什么是API安全
2.1.2 API安全問題主要成因
2.1.3 API安全面臨的主要挑戰(zhàn)
2.2 API 安全漏洞類型
2.2.1 常見的API安全漏洞類型
2.2.2 OWASP API安全漏洞類型
2.3 API安全前景與趨勢
2.4 小結(jié)
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用過程
3.1.3 OAuth漏洞啟示
3.2 PayPal委托授權(quán)漏洞
3.2.1 委托授權(quán)漏洞基本信息
3.2.2 委托授權(quán)漏洞利用過程
3.2.3 委托授權(quán)漏洞啟示
3.3 API KEY泄露漏洞
3.3.1 API KEY泄露漏洞基本信息
3.3.2 API KEY泄露漏洞利用過程
3.3.3 API KEY泄露漏洞啟示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用過程
3.4.3 Hadoop管理API漏洞啟示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用過程
3.5.3 GraphQL API漏洞啟示
3.6 小結(jié)
第4章 API安全工具集
4.1 工具分類
4.2 典型工具介紹
4.2.1 API安全小貼士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介紹
4.3.1 自動化工具
4.3.2 經(jīng)典安全工具
4.3.3 輔助類工具及綜合類工具
4.4 小結(jié)
第5章 API滲透測試
5.1 API滲透測試的基本流程
5.1.1 API滲透測試的關(guān)鍵點
5.1.2 API滲透測試注意事項
5.2 API滲透測試步驟
5.2.1 信息收集
5.2.2 漏洞發(fā)現(xiàn)
5.2.3 漏洞利用
5.2.4 報告撰寫
5.3 API滲透測試的特點
5.3.1 RESTful API類
5.3.2 GraphQL API類
5.3.3 SOAP API類
5.3.4 RPC及其他API類
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介紹
5.4.2 Astra工具使用介紹
5.5 小結(jié)
第2篇 設(shè) 計 篇
第6章 API安全設(shè)計基礎(chǔ)
6.1 API安全設(shè)計原則
6.1.1 5A原則
6.1.2 縱深防御原則
6.2 API安全關(guān)鍵技術(shù)
6.2.1 API安全技術(shù)棧
6.2.2 身份認(rèn)證技術(shù)
6.2.3 授權(quán)與訪問控制技術(shù)
6.2.4 消息保護(hù)技術(shù)
6.2.5 日志審計技術(shù)
6.2.6 威脅防護(hù)技術(shù)
6.3 常用場景安全設(shè)計
6.3.1 API安全中南北向流量與東西向流量的概念
6.3.2 API網(wǎng)關(guān)與南北向安全設(shè)計
6.3.3 微服務(wù)與東西向安全設(shè)計
6.4 小結(jié)
第7章 API身份認(rèn)證
7.1 身份認(rèn)證的基本概念
7.1.1 身份認(rèn)證在API安全中的作用
7.1.2 身份認(rèn)證技術(shù)包含的要素
7.2 常見的身份認(rèn)證技術(shù)
7.2.1 基于HTTP Basic基本認(rèn)證
7.2.2 基于API KEY簽名認(rèn)證
7.2.3 基于SOAP消息頭認(rèn)證
7.2.4 基于Token系列認(rèn)證
7.2.5 基于數(shù)字證書認(rèn)證
7.3 常見的身份認(rèn)證漏洞
7.3.1 針對回調(diào)URL的攻擊
7.3.2 針對客戶端認(rèn)證憑據(jù)的攻擊
7.3.3 基于JSON數(shù)據(jù)結(jié)構(gòu)的攻擊
7.3.4 針對OpenID Connect授權(quán)范圍的攻擊
7.4 業(yè)界最佳實踐
7.4.1 案例之微軟Azure云 API身份認(rèn)證
7.4.2 案例之支付寶第三方應(yīng)用API身份認(rèn)證
7.5 小結(jié)
第8章 API授權(quán)與訪問控制
8.1 授權(quán)與訪問控制的基本概念
8.1.1 授權(quán)的含義
8.1.2 訪問控制的含義
8.2 API授權(quán)與訪問控制技術(shù)
8.2.1 OAuth 2.0協(xié)議
8.2.2 RBAC模型
8.2.3 其他授權(quán)與訪問控制技術(shù)
8.3 常見的授權(quán)與訪問控制漏洞
8.3.1 OAuth 2.0協(xié)議相關(guān)漏洞
8.3.2 其他類型的授權(quán)或訪問控制漏洞
8.4 業(yè)界最佳實踐
8.4.1 案例之OAuth在百度開放云平臺的使用
8.4.2 案例之微信公眾平臺第三方平臺API授權(quán)訪問
8.5 小結(jié)
第9章 API消息保護(hù)
9.1 傳輸層消息保護(hù)
9.1.1 TLS安全特性
9.1.2 TLS握手過程
9.1.3 TLS證書使用
9.2 應(yīng)用層消息保護(hù)
9.2.1 JWT及JOSE相關(guān)技術(shù)
9.2.2 Paseto技術(shù)
9.2.3 XML及其他格式消息保護(hù)
9.3 常見的消息保護(hù)漏洞
9.3.1 JWT校驗機制繞過漏洞
9.3.2 JWT加解密和算法相關(guān)漏洞
9.3.3 其他消息保護(hù)類型的漏洞
9.4 業(yè)界最佳實踐
9.4.1 案例之百度智能小程序OpenCard消息保護(hù)
9.4.2 案例之微信支付消息保護(hù)
9.5 小結(jié)
第3篇 治 理 篇
第10章 API安全與SDL
10.1 SDL簡介
10.1.1 SDL的基本含義
10.1.2 SDL對API安全的意義
10.2 SDL之API安全培訓(xùn)