攻击API餐厅

在我们开始学习之前，让我用一个比喻来帮助大家理解。想象一下，一个应用程序就像一家餐厅，API 文档就像菜单，告诉你可以点什么样的菜品。作为顾客与厨师之间的联络人，服务员就像API本身。你可以根据菜单向服务员提出请求，服务员把你点的菜品端上来。

至关重要的是，API用户无须了解厨师如何烹饪佳肴，或后台程序如何运作。相反，他们应遵循一套指令来发出请求，并接收相应的响应。随后，开发人员可以根据需求编写应用程序，以满足各种请求。

作为一名API黑客，你需要深入探索餐厅的每个角落，了解餐厅的运营方式。你可能会尝试绕过它的“保镖”，或提供一个被盗用的身份验证令牌。此外，你还需要分析菜单，寻找诱使API向你提供未经授权数据的方法，例如欺骗服务员把所有的菜品都端上来，你甚至可能说服餐厅所有者将整个餐厅的钥匙交给你。

本书引导你探讨以下主题，以全面的方式来攻击API：

● 理解Web应用程序的工作原理以及Web API的结构；

● 从黑客的角度掌握顶级API漏洞；

● 学习最有效的API黑客工具；

● 进行被动和主动的API侦察，以发现API的存在，找到暴露的秘密，并分析API的功能；

● 与API进行交互，并利用模糊测试功能测试它们；

● 通过利用你发现的API漏洞，执行各种攻击。

在本书中，我们将采用对抗性思维来充分利用各类API的功能与特性。我们越能模拟潜在对手，就越能发现可以报告给API提供商的潜在漏洞。我认为，我们甚至可以共同防止下一场大规模的API数据泄露事件。