Testowanie bezpieczeństwa API - przegląd ciekawostek, sztuczek i porad

preview_player
Показать описание

* Gdzie szukać dokumentacji
* Jak znajdować endpointy
* Poszukiwanie kluczy prywatnych
* Omijanie blokad
* Mass Assignment
* Identyfikatory i ich rodzaje

0:00 Intro
7:40 Poszukiwanie dokumentacji
8:06 Dokumentacja w Google
8:38 Wyszukiwanie zaawansowane GitHub
9:24 Wyszukiwarka publicznych kubełków S3
9:58 Pliki przechowywane w Google Cloud Storage
10:27 Lista użytkowników w WordPress API
11:23 Omijanie filtrów ?_method=GET
13:10 Nieautoryzowany dostęp poprzez ?context=edit
14:35 Unieważnienie tokenów OAUTH
15:49 Sekrety przedsiębiorstw podczas webinarów
17:30 JSParser i LinkFinder
18:12 Nieudokumentowane endpointy w kodzie JS
19:01 Pliki MAP w Chrome
20:47 Odgadywanie endpointów metodą siłową
21:08 Przykładowe słowniki
21:54 Web Archive - historyczne wersje stron
23:37 Pobieranie plików APK
24:19 Odzyskiwanie kodu źródłowego aplikacji na Androida
25:30 Klucze API odnalezione w aplikacjach
25:59 Przykłady publicznych kluczy API
27:40 KeyHacks - jak sprawdzić czy klucz działa
28:36 Klucze API na serwerach Continuous Integration
29:49 Funkcja send_keys w Selenium
30:30 Wycieki danych ze źle skonfigurowanych stron
31:29 Jailbreak i aplikacje na iOS
31:58 Jak przechowywać klucze API w aplikacjach
32:49 Wyciek kluczy Twilio
33:36 Co to jest OpenAPI
34:27 Swagger UI
34:56 Pod jakimi adresami można znaleźć Swagger UI
35:48 Wykorzystanie Swagger UI do znalezienia tajnego parametru
37:10 Swagger EZ
38:45 Wersjonowanie API
40:04 Pozyskiwanie listy endpointów przy pomocy metody OPTIONS
40:40 Omijanie 2FA
41:19 Omijanie 2FA - przykłady
44:04 Resetowanie haseł
44:27 Jak działa Host Header Attack
46:34 Błędne implementacje resetowania haseł
48:43 Błędna konfiguracja NGINX
49:11 Dodawanie nadmiarowego znaku slash
49:41 Metody PATCH i TRACE
50:10 Wykorzystywanie komunikatów błędów
50:56 Tworzenie własnego słownika
51:38 Jak działa Mass Assignment
52:28 Przykłady ataku Mass Assignment
54:21 Jak testować płatne API
56:17 Wyświetlanie wszystkich rekordów
57:18 Zmiana formatu na XML
58:57 SQL Injection
59:29 Wykorzystanie JNSOP
1:02:00 Adresy .json w aplikacjach Ruby
1:02:40 Sprint Boot Actuator
1:05:57 Tworzenie nowych kont w systemie
1:08:11 Popularne adresy pozwalające na tworzenie konta
1:09:00 Co dają komunikaty błędów
1:09:54 Omijanie weryfikacji adresu email
1:10:53 Nagłówek X-HTTP-Method-Override
1:12:13 Nagłówek X-Original-URL
1:13:13 Funkcja open w Ruby
1:14:13 Wysyłanie błędnych danych w formacie JSON
1:15:49 Omijanie logowania przy pomocy adresu public
1:16:33 Błędy logiczne w implementacji API
1:18:28 Czy wszystkie parametry powinny być nieprawidłowe
1:19:49 Gdzie mogę znaleźć błędy typu SSRF
1:21:08 Brak nagłówka Cache-Control
1:22:49 Wykorzystanie Slach Webhooks do Phishingu
1:23:32 Tokeny JWT
1:25:12 Błędna implementacja nagłówka CORS
1:29:09 IDOR
1:30:18 Czy można przewidzieć identyfikatory GUID
1:31:28 Znajdowanie identyfikatorów w odpowiedziach serwera
1:32:19 Poszukiwanie identyfikatorów w Google
1:33:45 Limitowanie ilości żądań
1:36:24 Mapa myśli

#api #bezpieczeństwo #programowanie
  1. Kacper Szurek
Комментарии
Автор

O Panie... Kacper, ja Ciebie wlasnie szukalem! Wielkie dzieki!!!

at
Автор

Kacprze! Wyrządzasz wielką przysługę dla branży bezpieczeństwa/testerów. Dzięki wielkie! :)

martinezoetcpasswd
Автор

Jak zwykle bardzo dobrze przygotowany materiał. Dzięki za bazę linków ;)

legato
Автор

Super materiał, zaraz podsyłam rodzicom.

ramzini
Автор

Witam, czy jest możliwość, abyś poruszył tema VPN?

jarekp