Bezpieczeństwo API REST – 20 caseów, ćwiczenia offline, masa unikalnej wiedzy

Ostatnio pracowicie zbieraliśmy wiedzę w tym temacie, w wyniku czego udało opracować się intensywne, praktyczne szkolenie z bezpieczeństwa API REST.

Temat jest dość unikalny, a w Internecie nie znajdziecie prawie żadnych kompleksowych opracowań z tego obszaru. Nasza prezentacja (przekazywana kursantom w formie elektronicznej) ma przeszło 200 interaktywnych slajdów, co wcale nie oznacza szkolenia teoretycznego. Praktyki jest bardzo dużo, a prezentacja służy jako kompleksowy przegląd po temacie bezpieczeństwa API REST.

Podatności YAML – przykładowy slajd

Na kursie zobaczycie około 20 realnych przykładów z podatności w API (m.in. z UBER, Airbnb, Twitter, Facebook, Nissan, Github, Equifax, Cisco…).

Dowiecie się np. też jak od niby prostego przetwarzania JSON-a czy XML-a dojść do zdalnego wykonania kodu, albo jak dostać się do API które teoretycznie nie jest udostępnione w Internecie… Oczywiście nie zabraknie też informacji o zabezpieczeniach. Po szkoleniu kursanci otrzymują dostęp do extra ćwiczeń (i teorii) w temacie bezpieczeństwa OAuth2.

Również jeszcze przed startem szkolenia przesyłamy 15 minutowy film + pierwsze praktyczne ćwiczenie, umożliwiające nabycie praktyki z wykorzystywanym na kursie narzędziu – Burp Suite. Po co w końcu marnować czas na szkoleniu na naukę narzędzi? :-) Przykładowy zrzut ze screencastu:

Burp Screencast

Przejdźmy do dalszych konkretów. Pełna agenda poniżej:

1. Krótki wstęp do API REST
2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
4. Omijanie zabezpieczeń dostępu do metod HTTP
5. Cross-Site Request Forgery (CSRF)
6. Server-Side Request forgery (SSRF)
7. Podatności XML
   1. XXE
   2. Remote Code Execution
   3. XXE vs SSRF
8. Podatności JSON vs. XML vs. YAML
9. Deserializacja vs. bezpieczeństwo API
10. Bezpieczeństwo JWT (JSON Web Tokens).
11. Bezpieczeństwo Webhooks
12. Wycieki kluczy API
13. Bezpieczeństwo frameworków
14. Automatyzacja testowania bezpieczeństwa API

Co kryje się za każdym z tych punktów? Praktyka. Zobaczcie np. zrzut ekranowy z jednego z ćwiczeń (poszukiwanie wycieków kluczy do API w publicznych źródłach). Analizujemy m.in. bazę, która skompresowana ma ok 5 GB. Na szkoleniu oczywiście dostępna jest bez czarnych pasków:

Wycieki…

Przykładowe slajdy ze szkolenia (szkolenie w j. angielskim prowadzone jest dla grup zamkniętych – a po polsku dla grup zamkniętych i otwartych).

Podatności YAML

Co z wyciekami kluczy… ?

Przykładowy slajd

PS
W ramach Securitum realizujemy też testy penetracyjne API/aplikacji webowych, które mogą być połączone z dedykowaną prezentacją dla grupy Waszych developerów i/lub testerów.

–ms