购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

前言

对大多数IT技术人员来说,API这个词并不陌生。而对架构师、研发工程师、安全工程师来说,API则更是日常工作中接触并熟知的内容。从2008年国内API经济活跃伊始,各个互联网企业纷纷构建自己的API开放平台,2012年API模式日益成熟,大量API安全问题在2013年之后也逐渐暴露出来。如今,仍可以通过漏洞平台、安全大会议题、企业安全应急响应中心看到这些痕迹。虽然API安全问题或安全事件时有发生,但企业对API安全的真正重视程度,仍比技术应用落后很多。这其中固然有企业的原因,但技术人员自身API安全知识的缺乏也是重要因素之一,再加上已出版的关于API安全的图书尤其少,于是作者决定写一本API安全方面的专业书籍。

1.本书的主要内容和特色

本书主要是为IT技术人员提供API安全知识和技术实战方面的案例讲解,采用理论和实践相结合的模式,由基础篇、设计篇、治理篇三个部分组成,为读者讲述API安全的基本概况、API安全漏洞、API安全设计以及API生命周期安全管理等内容。

基础篇 包括第1~5章。

第1章 API的前世今生 结合互联网技术的发展,介绍API技术的发展。重点围绕当下不同的API技术,如RESTful API技术、GraphQL API技术、SOAP API技术等,来介绍其技术特点。最后,简要讲述了头部互联网公司API的使用现状。

第2章 API安全的演变 以API安全的含义为切入点,讲述API安全关注的重点内容、API漏洞类型以及API安全的未来趋势。

第3章 典型API安全漏洞剖析 从最近三年的安全漏洞案例中,精心挑选出5个有代表性的案例,分别从漏洞基本信息、漏洞利用过程、漏洞启示三个方面,为读者讲述典型的API安全漏洞原理。

第4章 API安全工具集 结合API生命周期,从需求、设计、编码、测试、运维等角度,介绍与API安全相关的工具,并对部分工具做了重点说明。

第5章 API渗透测试 参考业界标准渗透基本流程,介绍了API渗透测试过程中的注意事项和关键点,并分析了RESTful API、GraphQL API、SOAP API等API渗透测试技术的特点。最后,通过案例讲述了API安全工具的典型用法。

设计篇 包括第6~9章。

第6章 API安全设计基础 介绍了API安全设计技术栈,并结合5A原则和纵深防御原则,对不同的API安全关键技术做了简要讲述,帮助读者初步构建API安全设计的整体概念。最后,以API安全中南北向、东西向场景为例,分别做了导入性的案例分析。

第7章 API身份认证 从身份认证的概念入手,主要讲述了HTTP Basic基本认证、AK/SK认证、Token认证等API身份认证技术,并重点介绍了OpenID Connect身份认证协议及常见安全漏洞。最后,结合微软Azure云、支付宝第三方应用公开文档,分析了API身份认证技术的安全设计细节。

第8章 API授权与访问控制 结合授权与访问控制的基本概念,重点讲述了OAuth 2.0协议、RBAC模型的相关流程与设计,分析了常见授权与访问控制的安全漏洞成因。最后,结合百度开放云平台、微信公众平台等第三方平台公开文档,分析了API授权与访问控制技术的安全设计细节。

第9章 API消息保护 主要从传输层、应用层介绍了消息保护相关技术及常见漏洞,如TLS、JWT、JOSE、Paseto技术等。最后,结合百度智能小程序OpenCard、微信支付的官方文档,对消息保护过程进行了案例分析。

治理篇 包括第10~13章。

第10章 API安全与SDL 结合微软SDL模型,讲述了在API生命周期安全管理中涉及的安全活动,并挑选出了关键的安全活动,从活动实践、工具依赖两个方面展开叙述,为下一章做知识导入。

第11章 API安全与DevSecOps 从DevSecOps视角,重点介绍了API安全在工具链和自动化管理上的实践,比如设置关键卡点、引入API网关、接入WAF等。

第12章 API安全与API网关 从开源API安全产品的角度,分析API网关的基本产品组成部分以及上下文关系,并对Kong API网关、WSO2 API管理平台做了重点介绍。最后,结合花椒直播Kong应用实践做了案例分析。

第13章 API安全与数据隐私 从隐私保护的视角,结合数据安全的生命周期,介绍了API安全中如何保护数据隐私,并结合Microsoft API使用条款、京东商家开放平台API敏感信息处理两个案例,分析了API安全中的数据隐私实践。

2.本书面向的读者

本书适用于网络安全人员、软件开发人员、系统架构师以及高等院校相关专业师生阅读学习。

■ 网络安全人员: 主要是从事Web渗透测试、攻防对抗、SDL运营等相关人员,帮助此类人员快速建立API安全相关知识脉络,构建API基础安全知识框架。

■ 软件开发人员: 主要是从事API技术开发相关人员,帮助此类人员厘清API相关技术栈和典型安全漏洞,能运用工具有效提高开发质量。

■ 系统架构师: 主要是致力于提高系统安全性的架构师,能帮助架构师有效地厘清API安全技术,并通过案例分析,指导API安全设计。

■ 高等院校相关专业师生: 了解API安全知识,尤其是与API安全技术相关的漏洞、工具、协议、流程等。

3.致谢

借本书的出版,感谢我在网络安全行业中工作过的企业,是它们给了我学习和锻炼的机会,尤其是亚信安全的郑海刚和孙勇,一位是带领我进入网络安全行业的引路人,另一位则是在我最困难的时候给予帮助和鼓励的好心人!也感谢各位领导、同事在工作和生活中给予的关怀和帮助!还要感谢很多安全圈朋友们的帮助,他们之中有些人素未谋面却神交已久,如张福@青藤云、薛峰@微步在线、方兴@全知科技、刘焱@蚂蚁金服、聂君@奇安信、戴鹏飞@美团、张园超@网商银行、郑云文@腾讯、常炳涛@科大讯飞、徐松@科大讯飞(排名不分先后)等。

感谢机械工业出版社的编辑李培培,她在本书的编写过程中,给予了我很多的建议和帮助!感谢机械工业出版社其他人员,是你们的辛勤工作,使得本书早日面世!

感谢我的家人在图书的编写过程中给予的支持和帮助!

钱君生 1HRZoW2UrzsSzxQCKcCR0yQ3WDckqwEdfhOZURKFUbhU93hsY7MdfedOUPmHfBJV

点击中间区域
呼出菜单
上一章
目录
下一章
×