🔍 API 安全與滲透測試實戰

你的 API 安全嗎?試試看你能不能自己攻破它。

API 是現代應用的骨幹,也是最常見的攻擊目標。本課程教你用駭客思維 + Vibe Coding 來測試與保護你的 API。

🔥 Vibe Coding 核心 Prompt

【滲透測試詠唱範例】 「請幫我建立一個 API 滲透測試腳本: 1. 測試 JWT Token 是否可以被偽造(none 演算法攻擊)。 2. 測試 IDOR — 嘗試修改訂單 ID 存取其他用戶的資料。 3. 測試 Rate Limiting — 短時間內發送 100 次請求。 4. 測試 SQL Injection — 在參數中注入 SQL 語句。 5. 輸出測試結果與修復建議。」

🎯 課程大綱

  1. API 攻擊面分析
  2. JWT 安全與常見漏洞
  3. IDOR 與權限繞過
  4. Rate Limiting 與暴力破解防護
  5. 實戰:完整滲透測試報告


課程導覽:這堂課你會學到什麼?

API 是現代 Web 應用的核心——前端 App 打 API、第三方整合打 API、內部系統也打 API。API 安全因此變得至關重要。

第一章:API 攻擊面分析

了解 API 有哪些攻擊面——認證、授權、注入、配置錯誤。

第二章:JWT 安全漏洞

JWT 驗證不完整、演算法混淆、金鑰洩漏——這些都是 API 滲透測試中最常見的發現。

第三章:SQL 與 NoSQL 注入

傳統 SQL 注入在 API 中仍然常見,而 NoSQL 注入(MongoDB $ne)是現代 API 的新威脅。

第四章:IDOR 與權限繞過

API 直接使用可預測的 ID,但沒有檢查使用者是否有權限——這是 API 中最常見的授權漏洞。

第五章:Rate Limiting

沒有 Rate Limiting 的 API 可以被暴力破解密碼、大量建立假帳號。

第六章:滲透測試報告

把技術發現轉換成客戶和開發團隊能理解的語言。