Hacking APIs (Final Release, 2022) của Corey J. Ball là cuốn sách đầu tiên và toàn diện nhất về tấn công và bảo vệ API (Application Programming Interface) — hạ tầng cốt lõi của mọi ứng dụng web, mobile và cloud hiện đại.
Trong khi phần lớn các khóa học bảo mật chỉ tập trung vào website truyền thống, Hacking APIs đưa bạn đi sâu vào cách tin tặc thật sự khai thác API, từ các lỗ hổng xác thực đến cấu hình sai trong môi trường sản xuất.
Tác giả – Corey J. Ball, chuyên gia pentesting được chứng nhận OSCP, CEH, APIsec University Instructor – hướng dẫn chi tiết từng phương pháp tấn công và phòng thủ, kèm các ví dụ và công cụ thực tế được sử dụng trong ngành.
Các nội dung nổi bật:
⚙️ API Fundamentals: REST, SOAP, GraphQL, WebSocket – kiến trúc và cấu trúc dữ liệu.
💥 API Attacks: BOLA, IDOR, Broken Auth, Rate Limiting Bypass, Injection, SSRF, Deserialization.
🧩 Reconnaissance: phát hiện endpoints ẩn, API keys, schema enumeration.
🧠 Defense Strategies: bảo mật token, kiểm soát CORS, input validation, monitoring và logging.
🚀 Pentesting Workflow: lập kế hoạch, khai thác, báo cáo và khắc phục lỗ hổng API.
Sách bao gồm bài lab thực hành, mẫu API dễ khai thác (vulnerable APIs) và hướng dẫn sử dụng công cụ nổi tiếng như Burp Suite, Postman, OWASP ZAP, JWT Toolkit, APIsec University tools.
Với xu hướng API-first architecture hiện nay, đây là tài liệu bắt buộc cho mọi kỹ sư web, DevOps, hoặc sinh viên CNTT Việt Nam muốn học pentest API và phát triển hệ thống bảo mật an toàn hơn.
