前言

如今，根据研究人员的估算，API请求在所有应用请求中的占比已超过80%。因此，对业务至关重要的资产可能潜藏着毁灭性的漏洞。

经过深入研究和详细分析，我们发现API是一个极具潜力的攻击媒介。鉴于其设计初衷是向其他应用程序传递信息，这无疑为潜在的攻击者提供了一定的便利。值得注意的是，为了获取组织内部最为敏感的数据，攻击者可能并不需要采取复杂的网络穿透策略，亦无须规避尖端防病毒软件的监测，甚至无须利用尚未被公众发现的零日漏洞。相反，他们可能仅需向特定的API端点发送一个精心构造的请求，便有可能完成攻击。

本书旨在全面介绍Web API，详细阐述如何对其进行测试以揭示潜在的漏洞。本书主要测试REST API的安全性，REST API是Web应用程序中广泛使用的API格式，同时也会测试GraphQL API的安全性。你将先学习运用API所需的工具和技术。随后，我们将引导你探测潜在的漏洞，并指导你如何利用这些漏洞。最后，你将学会如何报告所发现的问题，从而防止下一次数据泄露。