Безопасность API: атака и защита [Hakin9]

Безопасность API: атака и защита​

• Оригинальное название: API Security: Offence and Defence
• Источник: Hakin9
• Дата релиза: 2017
• Продолжительность: 18 часов
• Формат: видео
• Язык курса: английский

Описание:

API сегодня используются в каждом веб/мобильном/десктопном приложении. Но как и у любой другой технологии, у них есть сильные и слабые стороны. В этом курсе мы сфокусируемся на REST API и рассмотрим техники, используемые для обнаружения уязвимостей и их эксплуатации, а также меры противодействия, используемые разработчиками.

Что изучим?

• Введение в API и REST API
• REST API: отпечатки/фаззинг
• API аутентификация (Basic, JWT, OAuth)
  
• Базовая аутентификация, дайджест-аутентификация, JWT (веб-токены JSON) - реализация и атаки, взлом секретного ключа JWT, обход проверки хеша JWT
• OAuth 1, 1.0a, 2 - стандарты и реализация
  
• Кража токенов доступа OAuth
• CSRF-атаки на OAuth
  
• Атаки на поток авторизации
• Open Redirect в OAuth
  
• DoS-атаки на API
• Брутфорс-атаки на API
• Разработка атаки на API (поиск Dev API и его использование для обхода защиты на продакшн-API)
• Традиционные атаки (XSS, SQLI, IDOR и проч.)