ハッキングＡＰＩ―Ｗｅｂ ＡＰＩを攻撃から守るためのテスト技法

ボール，コーリー【著】〈Ｂａｌｌ，Ｃｏｒｅｙ〉/石川 朝久【訳】/北原 憲/洲崎 俊【技術監修】

オライリー・ジャパン（2023/03発売）

• サイズ B5変判／ページ数 432p／高さ 24cm
• 商品コード 9784814400249
• NDC分類 547.48
• Cコード C3055

出版社内容情報

APIセキュリティの基礎、テスト、保護までを体系的に学べる！
本書は、Web APIに脆弱性がないかどうかを検証するAPIセキュリティのテスト技術、保護技術についての解説書です。基礎知識となるWeb APIの仕組みや脆弱性の概要から、テストツール、検証用ラボの構築、各種攻撃（認証・認可に対する攻撃、インジェクション攻撃など）への対策まで、体形的に学ぶことができます。自社サービス活用の促進、開発の省力化・効率化の側面からサービスをWeb APIとして公開することが不可欠となっている昨今、必要不可欠な知識です。

内容説明

Ｗｅｂ　ＡＰＩは近年急速に利用が拡大しています。ＡＰＩの呼び出しが全Ｗｅｂトラフィックの８０％以上を占めるほど、Ｗｅｂサービスに欠かせない技術となっている一方で、Ｗｅｂ　ＡＰＩに対するサイバー攻撃も急増しており、そのセキュリティ対策はあらゆる組織で重要な課題となっています。本書の目的は、Ｗｅｂ　ＡＰＩの基本をしっかり押さえ、脆弱性が存在しないかどうかテストする方法を示すことです。攻撃者（ＡＰＩハッカー）の視点から、あらゆるＡＰＩ機能と特徴を活用するための知識を学ぶことで、これから起こり得る情報漏えいの危機を防ぐことができます。まず、ＷｅｂアプリケーションやＷｅｂ　ＡＰＩ脆弱性の種類などの基礎知識を学んだのち、実際に検証用ラボを構築しながら、脆弱性の調査方法、ツール、さまざまな攻撃手法などを、実践的に解説していきます。Ｗｅｂアプリケーションで最も一般的なＡＰＩ形式であるＲＥＳＴ　ＡＰＩのセキュリティテストに焦点を当てていますが、ＧｒａｐｈＱＬ　ＡＰＩへの攻撃もカバーしています。情報セキュリティに携わるエンジニアのみならず、Ｗｅｂアプリケーションのエンジニアリングチームにとっても有益な内容です。

目次

第１部　ＡＰＩセキュリティの原理（セキュリティテストへの準備；Ｗｅｂアプリケーションの仕組み；Ｗｅｂ　ＡＰＩの解剖学；一般的なＡＰＩ脆弱性）
第２部　ＡＰＩテストラボの構築（ＡＰＩハッキングラボの構築；脆弱なＡＰＩラボ環境の準備）
第３部　ＡＰＩへの攻撃（ＡＰＩの検出；エンドポイント分析；認証への攻撃；ファジング；認可への攻撃；マスアサインメント；インジェクション攻撃）
第４部　実世界におけるＡＰＩ攻撃（バイパス技術の応用とレート制限テスト；ＧｒａｐｈＱＬへの攻撃；データ侵害とバグバウンティ）

感想・レビュー

※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。

[iwtn_]

様々なアプリやサービスのバックグラウンドにあるWeb APIの攻撃手法について、実際に手を動かせる環境を手元に構築しつつ学べる。基本的にはいわゆるRESTfulなAPIを取り扱っているが、GraphQLについて一章をさいている。攻撃手段を知らないと効果的な対策を練れない、ということで良い本だと思う。スマホがこれだけ普及したが、手元だけで動くアプリは少ない。なんらかのWeb APIを呼び出して機能を作っている。データをCRUDするためには必要なものなので、そのセキュリティも自ずと重要性を増す。

2023/10/18

[mft]

攻撃手法と、それを実際に（テストを目的として）やってみる方法の解説、といった内容。安全な Web API を書くために具体的な攻撃を知っておくのも大切だろう

2023/04/05

[ふら〜]

API周りのセキュリティ。ある種webアプリの応用ではあるが、分かりやすく纏まっていて図表も豊富なのが良い。より理解を深めたい。

2023/11/19

[アムア]

Burp Suite

2023/08/19