API Attacks & Defense

  • متوسط
  • مسیر قرمز
  • ۳ درس
ثبت نام سازمانی این دوره
طول دوره
۲۴ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۰ نفر باقی مانده
نوع برگزاری
حضوری

دربارۀ این دوره

بهره‌برداری از API (Application Programming Interface) در تعامل بین نرم‌افزارها و یکپارچه‌سازی آن‌ها، مزایای زیادی برای سازمان‌ها به همراه دارد. با استفاده از API، نرم‌افزارهای کاربردی مختلف، بدون اینکه از شیوۀ پیاده‌سازی یکدیگر آگاهی داشته باشند، می‌توانند به‌راحتی با هم یکپارچه شوند. این مزایا، در کنار رشد زیرساخت‌های ابری در سال‌های اخیر، سبب شده تا شرکت‌های نرم‌افزاری و ابری مختلف در سراسر دنیا، APIهای متنوعی را با هدف ایجاد امکان تعامل راحت‌تر بین سرویس‌ها و محصولاتشان با سامانه‌های مربوط به مشتریان و شرکای تجاری، پیاده‌سازی کنند. اهمیت این مسئله تا حدی است که در برخی از کسب‌وکارها، تعداد و قابلیت‌های APIهای ارائه‌شده در محصولات، به‌عنوان یکی از مهم‌ترین مزیت‌های رقابتی آن کسب‌وکار محسوب می‌شود.
در این دوره، به ﺷﮑﺎر آسیب‌پذیری‌های OWASP API Security Top 10 و آسیب‌پذیری‌های راﯾﺞ دیگر طبق به‌روزرسانی 2023 OWASP پرداخته ﻣﯽ‌شود ﺗﺎ مخاطب، به درک مفهوﻣﯽ خوﺑﯽ از انواع آسیب‌پذیری‌های API دست پیدا کند. در فصل اول، به بررﺳﯽ ﺳﺎختار مدرن انواع API در سطح وب ﭘرداخته ﻣﯽشود و در فصل دوم، به بررﺳﯽ انواع روش‌های رﯾﮑﺎن در سطح API ﻣﯽ‌پردازیم. در فصل ﺳوم نیز انواع حمله‌های مدرن و راﯾﺞ API را به‌‌همراه روش‌های جلوگیری این حمله‌ها، از دید هکر و ﺑرﻧﺎمه‌نویس اپلیکیشن بررﺳﯽ خواهیم کرد.

مدت‌زمان این دوره، ۲۴ ساعت است.

مخاطبان

  • برنامه‌نویسان وب
  • علاقه‌مندان به تست نفوذ و هانت آسیب‌پذیری‌های API

پیش‌نیازها

  • آشنایی با حمله‌های رایج وب
  • حداقل یک سال سابقۀ کاری در حوزۀ تست نفوذ وب

سرفصل‌ها

  • Modern APIs
    • API Styles
      • REST
      • GraphQL
    • API Design
      • REST API Design
      • GraphQL Design
    • API Implementation
  • API Recon
    • API Recon Methodology
    • Internal & External APIs
    • REST & RPC
      • Public Endpoints
      • Hidden Endpoints
      • Mapping API Endpoints
      • Fuzzing API Endpoints
    • GraphQL
      • GraphQL Engine Analysis
      • GraphQL IDE
      • Graph Mapping
      • Graph Fuzzing
      • Attack Surface Analysis
    • API Key Disclosure
      • GitHub
      • Application
  • API Attacks & Defense
    • Broken Object Property Level Authorization
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Broken Function Level Authorization
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Broken Object Level Authorization
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Broken Authentication
      • JWT Attack Scenarios
      • Weak Passwords
      • Weak Implementation of Reset Password
    • Injection
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • SSRF
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Improper Inventory Management
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Unsafe Consumption of APIs
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Unrestricted Resource Consumption
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques
    • Unrestricted Access to Sensitive Business Flows
      • Root Cause Analysis
      • Attack Scenarios & Hunting Methodology
      • Defense Techniques

گواهینامه‌ی دوره

دوره های مشابه

پرسش‌های رایج