Мини-курсСредний6 мин3 модуля · 12 карт · 12 шагов

API Security Testing

Name: API Security Testing
Price: 3990 RUB
Availability: InStock

Купить за 3 990 ₽В корзину$44⚡ Тестовый режим: реальной оплаты не произойдёт

О курсе

API — новая поверхность атаки #1! REST, GraphQL, BOLA, Mass Assignment — за 12 уроков освоишь весь OWASP API Top 10 на практике. Burp Suite, фаззинг и автоматизация — после этого курса ни один API не устоит перед твоим аудитом.

Чему ты научишься

определять поверхность атаки API и строить модель угроз
находить и эксплуатировать уязвимости OWASP API Security Top 10
тестировать авторизацию API на BOLA и Mass Assignment
перехватывать и модифицировать API-запросы в Burp Suite
проводить фаззинг API-эндпоинтов для обнаружения скрытых багов
автоматизировать тестирование API с Postman и Newman
составлять профессиональный отчёт по аудиту API

Что нужно знать

Программа

Архитектура API

4 карт · 4 шагов · тест 11 вопросов

Изучаем анатомию API изнутри — REST, GraphQL, gRPC, механизмы аутентификации и полная карта поверхности атаки, которую ты построишь своими руками

1.
REST, GraphQL и gRPC: сравнение архитектурТри главных стиля API — их отличия, слабые места и поверхность атаки для каждого1 шагов
2.
Аутентификация и авторизация в APIКак API проверяет кто вы и что вам разрешено — и где эти механизмы ломаются1 шагов
3.
Документация API: Swagger, OpenAPI, PostmanКак использовать документацию API как карту для пентеста — находим скрытые endpoint'ы и параметры1 шагов
4.
Поверхность атаки и модель угроз APIСистематический подход к определению всех точек входа API и построению модели угроз1 шагов

Уязвимости API

4 карт · 4 шагов · тест 12 вопросов

OWASP API Top 10 на практике — BOLA, Mass Assignment, rate limiting bypass и атаки на бизнес-логику. Каждая уязвимость с реальным exploit-ом

1.
OWASP API Security Top 10Десять самых критичных уязвимостей API по классификации OWASP — обзор, примеры и тесты для каждой1 шагов
2.
Broken Object Level Authorization (BOLA)Глубокое погружение в BOLA/IDOR — самую распространённую уязвимость API с практическими техниками эксплуатации1 шагов
3.
Mass Assignment и избыточное раскрытие данныхКак API принимает лишние поля на вход и отдаёт лишние данные на выход — две стороны одной уязвимости1 шагов
4.
Rate Limiting и атаки на бизнес-логикуКак тестировать ограничения API на нагрузку и находить уязвимости в бизнес-процессах1 шагов

Инструменты и автоматизация

4 карт · 4 шагов · тест 13 вопросов

Вооружаемся до зубов — Burp Suite для перехвата, фаззинг для поиска скрытого, Postman+Newman для автоматизации и отчёт, который заставит разработчиков всё починить

1.
Перехват и модификация запросов в Burp SuiteПошаговая настройка Burp Suite для перехвата, анализа и модификации API-запросов в реальном времени1 шагов
2.
Фаззинг API-эндпоинтовАвтоматическая отправка мутированных данных в API для обнаружения аномалий, ошибок и уязвимостей1 шагов
3.
Автоматизация тестирования с Postman и NewmanСоздание коллекций тестов безопасности API в Postman и запуск через Newman в CI/CD pipeline1 шагов
4.
Написание отчёта по аудиту APIСтруктура, содержание и best practices профессионального отчёта по результатам API security assessment1 шагов