API Security Testing

برنا نعمت‌زاده

• متوسط
• مسیر قرمز
• ۳ درس

درباره‌ی این دوره

این دوره به چه افرادی توصیه می‌شود؟

• کارشناسان ارزیابی امنیت و تست نفوذ
• کارشناسان امنیت سایبری در سازمان‌ها و شرکت‌ها
• کارشناسان فعال در زمینه‌ی Bug Bounty

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با مفاهیم توسعه‌ی وب و API
• آشنایی با آسیب پذیری‌های رایج وب
• حداقل یک سال تجربه‌ی کاری در زمینه‌ی تست نفوذ وب

• Web APIs
  • Introduction to Web APIs
  • API Styles
    • Resource-oriented
    • Function-oriented
    • Data-oriented
  • Internal & External APIs
    • Logger++ Filters
    • API Prioritization
• API Recon
  • Recon Methodology for API
  • API Endpoints Enumeration
    • API Documentation
    • Public vs Hidden API Endpoints
  • API Attack Surface Analysis
• API Bugs
  • Excessive Data Exposure
    • Hunting for Data Exposure
    • Automating Burp to Find Data Exposure
    • False Positives
  • Mass Assignment
    • Mass Assignment in NodeJS & Rails
    • Hunting for Mass Assignment Vulnerabilities
    • Bypass Security Controls
  • Broken Object Level Authorization
    • Hunting for IDORs
    • Automating Burp to Find IDORs
  • Broken Function Level Authorization
    • Vertical vs Horizontal Access Control
    • Unprotected API Endpoints
    • Hunting for Broken Function Level
    • Automating Burp to Find Broken Function Level Bugs
  • Broken Authentication
    • Token-Based Authentication
    • JWT Attack Scenarios
  • Lack of Resources & Rate Limiting
    • Exploiting Response Limit
    • Exploiting Request Rate
    • Bypass Techniques for Request Rate
  • Security Misconfiguration
  • Injection-Based Attacks
    • SQL, NOSQL
    • XXE Injection
    • OS Command Injection
  • GraphQL
    • GraphQL Schema
    • GraphQL Object Types
    • GraphQL Queries
    • GraphQL Mutations
    • GraphQL Subscriptions
    • GraphQL Recon & Introspection Query
    • Fuzzing for Object Types
    • GraphQL Vulnerabilities

گواهینامه‌ی دوره