| 作者 |
| 钱君生 杨明 韦巍 |
| 丛书名 |
| 网络空间安全技术丛书 |
| 出版社 |
| 机械工业出版社* |
| ISBN |
| 9787111676393 |
| 简要 |
| 简介 |
| 内容简介书籍计算机书籍 在云大物移的业务背景下,技术形态正在微服务化、云化、容器化,API成为了维系一切中间的那个联结,其安全问题亦愈加凸显。本书由三个部分构成,*部分为基础篇,主要讲述API及其安全发展的背景、常见安全问题、典型案例剖析等;第二部分为设计篇,从API安全设计技术栈入手,重点讨论OAuth2.0、JWT、OpenID、消息级安全机制等关键技术,并结合结合支付宝、微信支付、百度数据开放平台等真实案例进行分析,提供给读者可操作的业内*实践蓝本;第三部分为治理篇,从API生命周期对安全进行综合治理,并结合花椒直播、蚂蚁金服的实践,讨论治理思路和成效。 本书适合各类想了解API安全的人员阅读,尤其是安全工程师、软件工程师、架构师以及企业IT治理方面的管理者,也适合软件工程、信息安全专业学生和其他安全爱好者,都能从本书中找到感兴趣的内容。 |
| 目录 |
| 出版说明 前言 第1篇 基 础 篇 第1章 API的前世今生 1.1 什么是API 1.2 API的发展历史 1.2.1 Web技术发展的4个阶段 1.2.2 现代API的类型划分 1.3 现代API常用的协议和消息格式 1.3.1 REST成熟度模型 1.3.2 RESTful API技术 1.3.3 GraphQL API技术 1.3.4 SOAP API技术 1.3.5 gRPC API技术 1.3.6 类XML-RPC及其他API技术 1.4 Top N互联网企业API使用现状 1.4.1 API开放平台发展历程 1.4.2 API在腾讯的使用现状 1.4.3 API在百度的使用现状 1.5 小结 第2章 API安全的演变 2.1 API安全现状 2.1.1 什么是API安全 2.1.2 API安全问题主要成因 2.1.3 API安全面临的主要挑战 2.2 API 安全漏洞类型 2.2.1 常见的API安全漏洞类型 2.2.2 OWASP API安全漏洞类型 2.3 API安全前景与趋势 2.4 小结 第3章 典型API安全漏洞剖析 3.1 Facebook OAuth漏洞 3.1.1 OAuth漏洞基本信息 3.1.2 OAuth漏洞利用过程 3.1.3 OAuth漏洞启示 3.2 PayPal委托授权漏洞 3.2.1 委托授权漏洞基本信息 3.2.2 委托授权漏洞利用过程 3.2.3 委托授权漏洞启示 3.3 API KEY泄露漏洞 3.3.1 API KEY泄露漏洞基本信息 3.3.2 API KEY泄露漏洞利用过程 3.3.3 API KEY泄露漏洞启示 3.4 Hadoop管理API漏洞 3.4.1 Hadoop管理API漏洞基本信息 3.4.2 Hadoop管理API漏洞利用过程 3.4.3 Hadoop管理API漏洞启示 3.5 Apache SkyWalking管理插件GraphQL API漏洞 3.5.1 GraphQL API漏洞基本信息 3.5.2 GraphQL API漏洞利用过程 3.5.3 GraphQL API漏洞启示 3.6 小结 第4章 API安全工具集 4.1 工具分类 4.2 典型工具介绍 4.2.1 API安全小贴士 4.2.2 Burp Suite工具 4.2.3 Postman工具 4.2.4 SoapUI工具 4.3 其他工具介绍 4.3.1 自动化工具 4.3.2 经典安全工具 4.3.3 辅助类工具及综合类工具 4.4 小结 第5章 API渗透测试 5.1 API渗透测试的基本流程 5.1.1 API渗透测试的关键点 5.1.2 API渗透测试注意事项 5.2 API渗透测试步骤 5.2.1 信息收集 5.2.2 漏洞发现 5.2.3 漏洞利用 5.2.4 报告撰写 5.3 API渗透测试的特点 5.3.1 RESTful API类 5.3.2 GraphQL API类 5.3.3 SOAP API类 5.3.4 RPC及其他API类 5.4 API安全工具典型用法 5.4.1 SoapUI+Burp Suite使用介绍 5.4.2 Astra工具使用介绍 5.5 小结 第2篇 设 计 篇 第6章 API安全设计基础 6.1 API安全设计原则 6.1.1 5A原则 6.1.2 纵深防御原则 6.2 API安全关键技术 6.2.1 API安全技术栈 6.2.2 身份认证技术 6.2.3 授权与访问控制技术 6.2.4 消息保护技术 6.2.5 日志审计技术 6.2.6 威胁防护技术 6.3 常用场景安全设计 6.3.1 API安全中南北向流量与东西向流量的概念 6.3.2 API网关与南北向安全设计 6.3.3 微服务与东西向安全设计 6.4 小结 第7章 API身份认证 7.1 身份认证的基本概念 7.1.1 身份认证在API安全中的作用 7.1.2 身份认证技术包含的要素 7.2 常见的身份认证技术 7.2.1 基于HTTP Basic基本认证 7.2.2 基于API KEY签名认证 7.2.3 基于SOAP消息头认证 7.2.4 基于Token系列认证 7.2.5 基于数字证书认证 7.3 常见的身份认证漏洞 7.3.1 针对回调URL的攻击 7.3.2 针对客户端认证凭据的攻击 7.3.3 基于JSON数据结构的攻击 7.3.4 针对OpenID Connect授权范围的攻击 7.4 业界最佳实践 7.4.1 案例之微软Azure云 API身份认证 7.4.2 案例之支付宝第三方应用API身份认证 7.5 小结 第8章 API授权与访问控制 8.1 授权与访问控制的基本概念 8.1.1 授权的含义 8.1.2 访问控制的含义 8.2 API授权与访问控制技术 8.2.1 OAuth 2.0协议 8.2.2 RBAC模型 8.2.3 其他授权与访问控制技术 8.3 常见的授权与访问控制漏洞 8.3.1 OAuth 2.0协议相关漏洞 8.3.2 其他类型的授权或访问控制漏洞 8.4 业界最佳实践 8.4.1 案例之OAuth在百度开放云平台的使用 8.4.2 案例之微信公众平台第三方平台API授权访问 8.5 小结 第9章 API消息保护 9.1 传输层消息保护 9.1.1 TLS安全特性 9.1.2 TLS握手过程 9.1.3 TLS证书使用 9.2 应用层消息保护 9.2.1 JWT及JOSE相关技术 9.2.2 Paseto技术 9.2.3 XML及其他格式消息保护 9.3 常见的消息保护漏洞 9.3.1 JWT校验机制绕过漏洞 9.3.2 JWT加解密和算法相关漏洞 9.3.3 其他消息保护类型的漏洞 9.4 业界最佳实践 9.4.1 案例之百度智能小程序OpenCard消息保护 9.4.2 案例之微信支付消息保护 9.5 小结 第3篇 治 理 篇 第10章 API安全与SDL 10.1 SDL简介 10.1.1 SDL的基本含义 10.1.2 SDL对API安全的意义 10.2 SDL之API安全培训 |