API Security Testing

دربارهی دوره (آنلاین)
بهرهبرداری از API (Application Programming Interface) در تعامل بین نرمافزارها و یکپارچهسازی آنها مزایای زیادی برای سازمانها به همراه دارد. با استفاده از API، نرمافزارهای کاربردی مختلف بدون اینکه نیازی به آگاهی از شیوهی پیادهسازی یکدیگر داشته باشند، میتوانند به راحتی با هم یکپارچه شوند. این مزایا در کنار رشد زیرساختهای ابری در سالهای اخیر، سبب شده تا شرکتهای نرمافزاری و ابری مختلف در سراسر دنیا APIهای متنوعی را با هدف ایجاد امکان تعامل راحتتر بین سرویسها و محصولاتشان با سامانههای مربوط به مشتریان و شرکای تجاری، پیادهسازی کنند. اهمیت این مساله تا جایی است که حتی در برخی از کسبوکارها تعداد و قابلیت APIهای موجود در محصولات آن، بهعنوان یکی از مهمترین مزیتهای رقابتی آن کسبوکار مطرح میشود.
APIها در بسیاری از صنایع امروزی کاربرد وسیعی دارند که از بین آنها میتوان به صنایع خدمات مالی و بانکی، رایانش ابری، IoT، شهرهای هوشمند و موبایل اشاره کرد. در ایران نیز با توجه به رشد استارتاپها و زیرساختهای ابری در سالهای اخیر، بسیاری از شرکتها محصولات خود را به APIهای مختلف مجهز کردهاند. اما یکی از نکات مهمی که شاید کمتر به آن پرداخته میشود، امنیت API این محصولات در برابر حملات سایبری است. API در کنار مزایایی که برای افراد و کسبوکارها ایجاد میکند، تهدیداتی را نیز به همراه دارد و هدف جذابی برای مهاجمین سایبری به حساب میآید. نقض شدن امنیت API میتواند دسترسی غیر مجاز مهاجمین به دادههای سازمان یا مشتریان آن، ایجاد اختلال در سرویسدهی و بسیاری تبعات دیگر را برای یک کسبوکار به دنبال داشته باشد. همین امر سبب گردیده تا شکار آسیبپذیری API در برنامههای باگبانتی دنیا با استقبال بالایی، هم از سوی کسبوکارها و هم از سوی نفوذگران مواجه شود.
در این دوره فرآیند تست و ارزیابی یک API از دید یک شکارچی باگ بررسی میشود. در بخش ابتدایی دوره بررسی معماری امنیت API و مفاهیم آن آموزش داده میشود. در بخش بعد روشهای جمعآوری اطلاعات و شناسایی برای API به صورت عملی شرح داده خواهد شد، همچنین به صورت اصولی یاد میگیرید که چگونه اطلاعات و API Endpointهای مورد نظرتان را استخراج کنید. نهایتا در بخش سوم به بررسی انواع آسیبپذیریهای فنی و منطقی در بستر API و شیوهی شکار و هک آنها پرداخته خواهد شد .
مدت زمان دوره
مدت زمان این دوره ۲۴ ساعت است و به صورت کلاسهای ۶ ساعته، طی ۴ جلسه به صورت آنلاین، دو روز در هفته، روزهای پنجشنبه و جمعه از ساعت ۱۱:۰۰ تا ۱۷:۰۰ برگزار میشود. تاریخ شروع این دوره از پنجشنبه ۲۷ مرداد ماه خواهد بود.
تخفیف ثبتنام زودهنگام
بلیط ثبتنام زودهنگام، بدون نیاز به وارد کردن کد تخفیف، در صفحهی ثبتنام دوره در پلتفرم ایوند تعریف شده است.
گواهینامهی دوره
برای دریافت گواهینامهی این دوره، ده روز پس از جلسهی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامهی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامهی دوره برای شرکتکنندگان اختیاری است.
هزینهی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینهی چاپ و صدور گواهینامهی دوره: ۵۰ هزارتومان
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت و تست نفوذ
- کارشناسان امنیت سایبری در سازمانها و شرکتها
- کارشناسان فعال در زمینهی Bug Bounty
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با مفاهیم توسعهی وب و API
- آشنایی با آسیب پذیریهای رایج وب
- حداقل یک سال تجربهی کاری در زمینهی تست نفوذ وب
سرفصلهای دوره
Chapter 1: Web APIs
1.1 Introduction to Web APIs
1.2 API Styles
1.2.1 Resource-oriented
1.2.1.1 REST APIs from a Developer’s Perspective
1.2.1.2 REST APIs from a Hacker’s Perspective
1.2.2 Function-oriented
1.2.2.1 RPC & gRPC Styles
1.2.3 Data-oriented
1.2.3.1 GraphQL vs REST
1.2.3.2 GraphQL Architecture
1.3 Internal & External APIs
1.3.1 Logger++ Filters
1.3.2 API Prioritization
Chapter 2: API Recon
2.1 Recon Methodology for API
2.2 API Endpoints Enumeration
2.2.1 API Documentation
2.2.2 Public vs Hidden API Endpoints
2.2.2.1 Public API Endpoints Enumeration
2.2.2.2 Hidden API Endpoints Enumeration
2.2.2.3 Fuzzing for Hidden API Endpoints
2.2.2.4 Fuzzing for GraphQL Object Types
2.3 API Attack Surface Analysis
Chapter 3: API Bugs
3.1 Excessive Data Exposure
3.1.1 Hunting for Data Exposure
3.1.2 Automating Burp to Find Data Exposure
3.1.3 False Positives
3.2 Mass Assignment
3.2.1 Mass Assignment in NodeJS & Rails
3.2.2 Hunting for Mass Assignment Vulnerabilities
3.2.3 Bypass Security Controls
3.3 Broken Object Level Authorization
3.3.1 Hunting for IDORs
3.3.2 Automating Burp to Find IDORs
3.4 Broken Function Level Authorization
3.4.1 Vertical vs Horizontal Access Control
3.4.2 Unprotected API Endpoints
3.4.3 Hunting for Broken Function Level
3.4.4 Automating Burp to Find Broken Function Level Bugs
3.5 Broken Authentication
3.5.1 Token-Based Authentication
3.5.2 JWT Attack Scenarios
3.5.2.1 Basic Cryptography for Bug Hunter
3.5.2.2 JWT Common Attack Scenarios
3.5.2.3 JWT Advanced Attack Scenarios
3.6 Lack of Resources & Rate Limiting
3.6.1 Exploiting Response Limit
3.6.2 Exploiting Request Rate
3.6.3 Bypass Techniques for Request Rate
3.7 Security Misconfiguration
3.8 Injection-Based Attacks
3.8.1 SQL, NOSQL
3.8.2 XXE Injection
3.8.3 OS Command Injection
3.9 GraphQL
3.9.1 GraphQL Schema
3.9.2 GraphQL Object Types
3.9.3 GraphQL Queries
3.9.4 GraphQL Mutations
3.9.5 GraphQL Subscriptions
3.9.6 GraphQL Recon & Introspection Query
3.9.7 Fuzzing for Object Types
3.9.8 GraphQL Vulnerabilities
3.9.8.1 Injection-Based Attack Scenarios
3.9.8.2 Request-Forgery Attack Scenarios
3.9.8.3 Nested Queries & DOS
3.9.8.4 Node-Based & Edge-Based Access Control
3.9.8.5 Mutation-Based Attacks
ویژگی های دوره
- درس 3
- آزمونها 0
- مدت زمان 24 ساعت
- سطح مهارت متوسط
- زبان فارسی و انگلیسی
- دانشجویان 17
- گواهی نامه بله
- ارزیابی بله
2 نظر
با سلام و عرض ادب و احترام
می خواستم در صورتی که کلاس تست API در حال برگذاری بود بهم اطلاع داده بشه.
ممنونم
سلام وقت بخیر. اطلاعرسانی انجام شد.