本书组织结构

攻击API并不像你想象的那样充满挑战性。一旦了解了它们的运作原理，黑客只需要发送正确的HTTP请求，就可以发起API攻击。然而，通常用于漏洞挖掘和Web应用程序渗透测试的工具和技术并不适用于API测试。例如，你不能只是对一个API进行通用漏洞扫描，就期待能得到有用的结果。我经常对易受攻击的API进行扫描，结果却为虚假阴性。当API未得到充分测试时，组织会产生虚假安全感，从而面临入侵风险。

本书各部分均以前一部分为基础。

第一部分：Web API安全的原理

第一部分包含第0章～第3章。在该部分中，先介绍安全测试的预备知识，再介绍Web应用程序及驱动它们的Web API的基本知识，包括本书主题之一的REST API和越来越受欢迎的GraphQL，还将探讨常见的API漏洞。

第二部分：搭建API测试实验室

第二部分包含第4章和第5章。在该部分中，主要介绍如何搭建自己的API测试实验室，还介绍了相关工具，如Burp Suite、Postman等，还将建立一个易受攻击的API目标实验室，帮助你进行攻击实践。

第三部分：攻击API

第三部分包含第6章～第12章。在该部分中，探讨主要介绍攻击API的方法论，指导你执行针对 API 的常见攻击。你将学习通过开源情报技术发现API，分析它们以了解它们的攻击面，深入了解针对API的攻击方法。你还将学会逆向工程API、绕过身份验证，并对安全问题进行模糊测试。

第四部分：真实世界的API攻击

第四部分包含第13章～第15章。在该部分中，主要介绍API漏洞如何在数据泄露和漏洞赏金中被利用。你将了解如何运用应用规避技术，并进行速率限制测试。你还将了解针对GraphQL的攻击示例，将所学技术应用于GraphQL格式。

实验部分

本书第二部分和第三部分的每一章均包含实验部分，供你实践本书技术。你可使用除本书介绍的工具之外的其他工具完成实验。

本书适合对Web应用程序攻击感兴趣的人，以及希望增加一项技能的渗透测试人员和漏洞赏金猎人阅读。本书的设计旨在方便初学者在第一部分学习Web API的基本知识，在第二部分搭建黑客实验室，在第三部分开始攻击。