API의 중요성이 점점 높아지는 최근 상황에서 API 보안과 테스팅의 거의 모든 것을 담은 책이라고 할 수 있습니다. 실습 위주로 구성되어 있어서 API 관련 기술을 효과적으로 습득하고 실무에 쉽게 활용할 수 있는 책입니다.
- 최만균 (『디지털 트윈 개발 및 클라우드 배포』, 『어반 컴퓨팅』, 『사이버 보안』 역자)
책 제목 그대로 API를 해킹하는 방법을 정확히 다룹니다. 기본적인 정의에서 시작해 널리 알려진 API 약점 및 해킹 모범 사례, 그리고 그 배경 이론까지 망라하므로 공격자의 마인드셋을 갖추고 읽으면 좋습니다. 책은 여러 도구의 소개와 간단한 맛보기로 시작해, API 퍼징에서 복잡한 접근 제어 악용에 이르기까지 모든 걸 아주 효과적이고 간결하게 설명합니다. 디테일한 랩 실습, 팁과 트릭, 실무 예제로 무장한 이 책은 워크숍 과정을 완전히 책 한 권에 모두 넣었다고 해도 과언이 아닙니다.
- 에레즈 얄론(Erez Yalon) (체크마크스(Checkmarx) 보안 연구 부장, OWASP API 보안 프로젝트 리더)
코리 볼은 API의 수명 주기를 생생하게 안내합니다. 이 책을 읽으면 호기심을 느낄 뿐만 아니라, 새로 배운 것을 시험해보고 싶어 안절부절못하게 될 겁니다. 개념, 예제, 도구 소개부터 세부 사항 시연에 이르기까지 빠짐없이 설명합니다. 이 책은 API 해킹의 왕도이므로 개발-보안-운영의 방법론을 진지하게 받아들이는 사람이라면 누구든 이 책을 가까이해야 합니다.
- 크리스 로버츠(Chris Roberts) (vCISO 그룹 에토패스(Ethopass)의 전략 고문)
이 책은 침투 테스트에 입문하려는 사람에게 대단히 유용합니다. 특히 많은 최신 웹 애플리케이션의 약점이 된 API 보안 테스트를 시작할 수 있는 도구를 제공합니다. 또한 침투 싸움에서 승리하기 위한 유용한 자동화 팁이나 보안 우회 기법도 다양하게 설명하므로 경험 많은 보안 전문가라도 이 책에서 많은 것을 얻을 수 있을 겁니다.
- 비키 리(Vickie Li) (『Bug Bounty Bootcamp』 저자)
이 책은 아직 자세히 알려지지 않은 API 해킹이라는 주제의 문을 열어줍니다. 가장 중요한 접근 제어 문제를 강조하여 설명하므로 API 보안의 모든 걸 이해할 수 있고, 큰 상금과 명예를 얻을 수도 있으며, 규모와 관계없이 모든 조직의 API 보안을 전체적으로 향상할 수 있습니다.
- 아이넌 슈케디(Inon Shkedy) (트레이서블 AI(Traceable AI) 보안 연구원, OWASP API 보안 프로젝트 리더)
인터넷에는 사이버 보안에서 생각할 수 있는 모든 주제에 대한 정보가 가득하지만, 그럼에도 API 침투 테스트를 확실하게 성공하는 건 쉽지 않습니다. 이 책은 이런 수요를 완전히 만족시킵니다. 사이버 보안 분야의 초보자뿐만 아니라 경험 많은 전문가도 이 책의 도움을 받을 수 있습니다.
- 크리스티 블라드(Cristi Vlad) (사이버 보안 분석가이자 침투 테스터)
API 로직의 결함은 사실상 제로 데이 취약점이며, 각 취약점은 API마다 다르게 나타납니다. 제대로 된 API 보안 테스트는 연속적이어야 하고 포괄적이어야 합니다. 1년에 한두 번 테스트하는 정도로는 새로운 위협을 방어할 수 없습니다. API 취약점을 발견하려면 새로운 기술, 새로운 도구, 새로운 접근법이 필요합니다. 세계는 그 어느 때보다 『API 해킹의 모든 것』을 필요로 합니다.
- 댄 바라오나(Dan Barahona) (APIsec.ai 최고 전략 책임자)