🔍 API 安全與滲透測試實戰
你的 API 安全嗎?試試看你能不能自己攻破它。
API 是現代應用的骨幹,也是最常見的攻擊目標。本課程教你用駭客思維 + Vibe Coding 來測試與保護你的 API。
🔥 Vibe Coding 核心 Prompt
【滲透測試詠唱範例】
「請幫我建立一個 API 滲透測試腳本:1. 測試 JWT Token 是否可以被偽造(none 演算法攻擊)。2. 測試 IDOR — 嘗試修改訂單 ID 存取其他用戶的資料。3. 測試 Rate Limiting — 短時間內發送 100 次請求。4. 測試 SQL Injection — 在參數中注入 SQL 語句。5. 輸出測試結果與修復建議。」
🎯 課程大綱
- API 攻擊面分析
- JWT 安全與常見漏洞
- IDOR 與權限繞過
- Rate Limiting 與暴力破解防護
- 實戰:完整滲透測試報告
課程導覽:這堂課你會學到什麼?
API 是現代 Web 應用的核心——前端 App 打 API、第三方整合打 API、內部系統也打 API。API 安全因此變得至關重要。
第一章:API 攻擊面分析
了解 API 有哪些攻擊面——認證、授權、注入、配置錯誤。
第二章:JWT 安全漏洞
JWT 驗證不完整、演算法混淆、金鑰洩漏——這些都是 API 滲透測試中最常見的發現。
第三章:SQL 與 NoSQL 注入
傳統 SQL 注入在 API 中仍然常見,而 NoSQL 注入(MongoDB $ne)是現代 API 的新威脅。
第四章:IDOR 與權限繞過
API 直接使用可預測的 ID,但沒有檢查使用者是否有權限——這是 API 中最常見的授權漏洞。
第五章:Rate Limiting
沒有 Rate Limiting 的 API 可以被暴力破解密碼、大量建立假帳號。
第六章:滲透測試報告
把技術發現轉換成客戶和開發團隊能理解的語言。