书籍摘要

核心定位

《Hacking APIs》是一本专注 Web API 安全测试的实践型书。它不是泛泛讲 Web 安全，也不是只列 OWASP API Top 10 的概念手册，而是围绕“如何在授权范围内发现、分析并验证 API 漏洞”组织内容，适合想把渗透测试能力从传统 Web 页面扩展到 REST、GraphQL、JWT、访问控制和业务逻辑接口的人。

内容主线

全书先建立 API 与 Web 应用的基础模型，再搭建测试环境和易受攻击目标，随后按真实测试流程展开：发现 API、分析 endpoint、攻击 authentication、做 fuzzing、验证 authorization、mass assignment 和 injection，最后进入 GraphQL、rate limit 绕过思路、真实数据泄露案例与 bug bounty 场景。它强调工具配合与方法链路，而不是孤立漏洞名词。

章节内容

第零章~第三章讲测试前准备、授权、威胁建模、测试范围、报告与复测，再补 Web 应用、HTTP、状态码、方法、数据库、RESTful APIs、GraphQL、JSON/XML/YAML、Basic Authentication、API Keys、JWT、HMAC、OAuth 2.0，以及 BOLA、broken authentication、excessive data exposure、rate limiting、BFLA、mass assignment、injection 等常见漏洞。

第四章~第五章搭建 API hacking system 和 vulnerable API targets，介绍 Kali Linux、Chrome DevTools、Burp Suite、Postman、OWASP Amass、Kiterunner、Nikto、OWASP ZAP、Wfuzz、Arjun，以及 crAPI、Pixi、OWASP Juice Shop、DVGA 等练习环境。读者能把书中的概念放到可复现实验里验证。

第六章~第十二章是攻击 API 的核心流程，覆盖 passive/active recon、Google hacking、Shodan、GitHub 泄露线索、Nmap、Gobuster、ZAP/Burp 爬取、endpoint analysis、文档与规范导入、反向分析、authentication attack、JWT abuse、fuzzing、BOLA/BFLA、mass assignment、SQL/NoSQL/command injection 等内容。

第十三章~第十五章进入更贴近真实环境的部分，讨论安全控制识别、evasive techniques、rate limit testing、GraphQL reverse engineering、introspection、InQL、GraphQL fuzzing，以及 Peloton、USPS、T-Mobile、Starbucks、Instagram GraphQL 等案例。附录中的 API Hacking Checklist 也适合复盘测试流程。

适用读者

适合 Web 安全学习者、渗透测试人员、bug bounty 参与者、DevSecOps 工程师，以及负责 API 设计和安全评估的后端开发者。需要基本 HTTP、Web 应用和命令行工具基础。不适合完全零基础读者，也不适合希望获得生产级 API 防护架构全景的读者。

总评

这本书的优势在于聚焦明确、流程完整、实验性强。它能帮助读者把“API 安全”从抽象清单转化为可执行的测试路径，也能帮助开发和安全团队理解接口层常见风险。若你关心现代 Web/API 攻防，值得投入时间；若只想学传统 XSS/SQL 注入或后端安全开发规范，则需要搭配其他资料。