音像API安全技术与实战不详

出版说明
前言
篇 基 础 篇
章 API的前世今生
1.1 什么是API
1.2 API的发展历史
1.2.1 Web技术发展的4个阶段
1.2.2 现代API的类型划分
1.3 现代API常用的协议和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技术
1.3.3 GraphL API技术
1.3.4 SOAP API技术
1.3.5 gRPC API技术
1.3.6 类XML-RPC及API技术
1.4 Top N互联网企业API使用现状
1.4.1 API开放平台发展历程
1.4.2 API在腾讯的使用现状
1.4.3 API在百度的使用现状
1.5 小结
第2章 API安全的演变
2.1 API安全现状
2.1.1 什么是API安全
2.1.2 API安全问题主要成因
2.1.3 API安全面临的主要挑战
2.2 API 安全漏洞类型
2.2.1 常见的API安全漏洞类型
2.2.2 OWASP API安全漏洞类型
. API安全前景与趋势
2.4 小结
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用过程
3.1.3 OAuth漏洞启示
3.2 PayPal委托授权漏洞
3.2.1 委托授权漏洞基本信息
3.2.2 委托授权漏洞利用过程
3.. 委托授权漏洞启示
3.3 API KEY泄露漏洞
3.3.1 API KEY泄露漏洞基本信息
3.3.2 API KEY泄露漏洞利用过程
3.3.3 API KEY泄露漏洞启示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用过程
3.4.3 Hadoop管理API漏洞启示
3.5 Apache SkyWalking管理插件GraphL API漏洞
3.5.1 GraphL API漏洞基本信息
3.5.2 GraphL API漏洞利用过程
3.5.3 GraphL API漏洞启示
3.6 小结
第4章 API安全工具集
4.1 工具分类
4.2 典型工具介绍
4.2.1 API安全小贴士
4.2.2 Burp Suite工具
4.. Postman工具
4.2.4 SoapUI工具
4.3 工具介绍
4.3.1 自动化工具
4.3.2 经典安全工具
4.3.3 辅类工具及综合类工具
4.4 小结
第5章 API渗透测试
5.1 API渗透测试的基本流程
5.1.1 API渗透测试的关键点
5.1.2 API渗透测试注意事项
5.2 API渗透测试步骤
5.2.1 信息收集
5.2.2 漏洞发现
5.. 漏洞利用
5.2.4 报告撰写
5.3 API渗透测试的特点
5.3.1 RESTful API类
5.3.2 GraphL API类
5.3.3 SOAP API类
5.3.4 RPC及API类
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介绍
5.4.2 Astra工具使用介绍
5.5 小结
第2篇 设 计 篇
第6章 API安全设计基础
6.1 API安全设计原则
6.1.1 5A原则
6.1.2 纵深防御原则
6.2 API安全关键技术
6.2.1 API安全技术栈
6.2.2 身份认技术
6.. 授权与访问控制技术
6.2.4 消息保护技术
6.2.5 日志审计技术
6.2.6 威胁防护技术
6.3 常用场景安全设计
6.3.1 API安全中南北向流量与东西向流量的概念
6.3.2 API网关与南北向安全设计
6.3.3 微服务与东西向安全设计
6.4 小结
第7章 API身份认
7.1 身份认的基本概念
7.1.1 身份认在API安全中的作用
7.1.2 身份认技术包含的要素
7.2 常见的身份认技术
7.2.1 基于HTTP Basic基本认
7.2.2 基于API KEY签名认
7.. 基于SOAP消息头认
7.2.4 基于Token系列认
7.2.5 基于数字认
7.3 常见的身份认漏洞
7.3.1 针对回调URL的攻击
7.3.2 针对客户端认凭据的攻击
7.3.3 基于JSON数据结构的攻击
7.3.4 针对Open Connect授权范围的攻击
7.4 业界实践
7.4.1 案例之微软Azure云 API身份认
7.4.2 案例之第三方应用API身份认
7.5 小结
第8章 API授权与访问控制
8.1 授权与访问控制的基本概念
8.1.1 授权的含义
8.1.2 访问控制的含义
8.2 API授权与访问控制技术
8.2.1 OAuth 2.0协议
8.2.2 RBAC模型
8.. 授权与访问控制技术
8.3 常见的授权与访问控制漏洞
8.3.1 OAuth 2.0协议相关漏洞
8.3.2 类型的授权或访问控制漏洞
8.4 业界实践
8.4.1 案例之OAuth在百度开放云平台的使用
8.4.2 案例之公众平台第三方平台API授权访问
8.5 小结
第9章 API消息保护
9.1 传输层消息保护
9.1.1 TLS安全特
9.1.2 TLS握手过程
9.1.3 TLS使用
9.2 应用层消息保护
9.2.1 JWT及JOSE相关技术
9.2.2 Paseto技术
9.. XML及格式消息保护
9.3 常见的消息保护漏洞
9.3.1 JWT校制绕过漏洞
9.3.2 JWT加解密和算法相关漏洞
9.3.3 消息保护类型的漏洞
9.4 业界实践
9.4.1 案例之百度智能小程序OpenCard消息保护
9.4.2 案例之支付消息保护
9.5 小结
第3篇 治 理 篇
0章 API安全与SDL
10.1 SDL简介
10.1.1 SDL的基本含义
10.1.2 SDL对API安全的意义
10.2 SDL之API安全培训
10.2.1 如何开展API安全培训
10.2.2 API安全培训相关工具
10.3 SDL之API安全需求
10.3.1 如何开展API安全需求
10.3.2 API安全需求相关工具
10.4 SDL之API安全设计
10.4.1 如何开展API安全设计
10.4.2 API安全设计相关工具
10.5 SDL之API安全实现
10.5.1 如何开展API安全实现
10.5.2 API安全实现相关工具
10.6 SDL之API安全验
10.6.1 如何开展API安全验
10.6.2 API安全验相关工具
10.7 小结
1章 API安全与DevSecOps
11.1 DevSecO简
11.1.1 DevSecOps的基本概念
11.1.2 DevSecOps实施关键要点
11.2 DevSecOps管道
11.2.1 持续集成与持续安全
11.2.2 DevSecOps平台
11.3 DevSecOps API安全实践
11.3.1 设置关键卡点
11.3.2 构建不同层面的安全能力
11.4 小结
2章 API安全与API网关
12.1 API网关产品概述
12.1.1 API网关功能介绍
12.1.2 API网关产品特
12.2 开源API网关
12.2.1 Kong API网关介绍
12.2.2 WSO2 API管理平台介绍
12.. 开源API网关产品介绍
1. 业界实践——花椒直播Kong应用实践分析
12.4 小结
3章 API安全与数据隐私
13.1 数据隐私发展现状简述
13.1.1 国内个人信息保护监管现状
13.1.2 国外数据隐私监管现状
13.2 API安全中的数据隐私保护
13.2.1 数据隐私的含义
13.2.2 数据生命周期中的隐私保护
13.. API技术面临的数据隐私保护风险
13.3 业界实践
13.3.1 案例之Microsoft API 使用条款
13.3.2 案例之商家开放平台API信息处理
13.4 小结

钱君生，科大讯飞集团安全技术专家，10余年行业工作经验，主要负责安全平台研发、DevSecOps、安全防护体系、团队建设等工作，具备丰富的互联网安全一线实战经验，曾编写开源网络安全图书《BurpSuite实战指南》。
杨明，资深技术专家，10年以上基础架构安全、虚拟化安全、运维安全实战经验，曾多次在全国、省级信息安全比赛中获奖，目前就职于某金融机构信息技术中心，任技术经理。
韦巍，网络工程、系统集成及网络安全技术专家。长期从事系统集成、网络安全的教学和科研工作，理论基础扎实，实战经验丰富。完成软件著作权数十项，参与多本高校网络工程教材的编写工作。
《白帽子安全开发实战》融合了信息安全行业技术专家10多年一线工作经验，介绍了常见的渗透测试工具与防御系统的原理、开发过程以及使用方法。语言简练、内容实用、注重实践，讲解透彻，且免费提供所有源码。难点处配有二维码视频，使读者身临其境，迅速、深入地掌握各种经验和技巧，真正提高安全开发能力。