Black Hat GraphQL：攻击下一代 API

Black Hat GraphQL: Attacking Next Generation APIs

这本实践书籍由黑客为黑客编写，教渗透测试人员如何识别使用 GraphQL 的应用程序中的漏洞，GraphQL 是 Facebook 和 GitHub 等大公司采用的 API 数据查询和操作语言。

Black Hat GraphQL 适用于任何有兴趣学习如何借助攻击性安全测试来破解和保护 GraphQL API 的人。无论您是渗透测试员、安全分析师还是软件工程师，您都将学习如何攻击 GraphQL API、开发强化程序、在您的开发管道中构建自动化安全测试以及验证控件，所有这些都无需事先接触过 GraphQL .

在介绍核心概念之后，您将构建您的实验室、探索 GraphQL 和 REST API 之间的区别、运行您的第一个查询，并学习如何创建自定义查询。

您还将学习如何

使用数据收集和目标映射来了解目标
保护 API 免受拒绝服务攻击并利用 GraphQL 服务器中的不安全配置来收集有关强化目标的信息
冒充用户并在远程执行管理员级别的操作服务器
发现服务器、数据库和客户端浏览器中基于注入的漏洞
利用跨站点和服务器端请求伪造漏洞以及跨站点 WebSocket 劫持，强制服务器代表您请求敏感信息
剖析漏洞披露报告并审查漏洞利用代码以揭示漏洞如何影响大公司

这个全面的资源提供了保护 GraphQL API 和构建安全应用程序所需的一切。把它想象成你在闪电风暴中的保护伞。