1. Introduction
  2. Validate Akamai API Security (Noname) account
  3. Register for crAPI
  4. Set Postman Up
bug_report Report a mistake

Noname API Security Workshop - PreWork

1. Introduction

1. 介绍

Architecture diagram of the workshop

本次研讨会面向有兴趣了解应用程序编程接口 (API) 是什么以及了解与 API 相关的风险的技术专业人员和经理。与会者将获得用于利用易受攻击的 API 的技术的实践经验,这些技术会导致意外的数据泄露

本次研讨会还将研究实际流量,以及如何通过使用 Noname 平台的姿态管理和运行时保护来分析和查看实际流量

大约持续时间:

三到四个小时,取决于团体规模

目标

在本次研讨会结束时,参与者应该能够理解:

  • 什么是 API,以及保护 API 为何如此重要
  • OWASP API Top10 以及与 API 头号漏洞相关的安全风险:对象级别授权 (BOLA) 失效
  • Akamai API 安全解决方案的价值以及支持态势管理/发现和运行时保护/异常检测的集成
  • Noname 平台是什么以及支持态势管理/发现和运行时保护/异常检测的集成
  • API 漏洞和相应的威胁
  • 数据类型标记及其在发现和安全风险检测中的重要性
  • 自动执行问题检测、问题理解和补救策略
  • 策略创建及其在自动执行补救过程中的重要性
  • Akamai API 安全解决方案的报告功能

参与者

开发人员、DevOps、SecDevOps 或任何其他有兴趣了解 API 是什么及其在现实世界中的用途、D.A.R.T. 策略是什么以及实现该策略的工具的技术专业人士

先决条件

  • 可以访问浏览器并访问组织外部的互联网站点
  • 可以访问 Webex 以便实时跟随讲师
  • 可以访问 Postman,安装链接:https://www.postman.com/downloads/

2. Validate Akamai API Security (Noname) account

2. 验证 Akamai API Security (Noname) 帐户

每个研讨会参与者都将拥有自己独特的 Noname 平台登录信息。

  1. Navigate to https://<partner>.nnsworkshop.com
  2. Enter your email address: user@workshop.com
  3. Your password for this Workshop is: P@ssw0rd

3. Register for crAPI

3. 注册 crAPI

在本次研讨会上,我们将使用由 OWASP 组织创建的 Web 应用程序。此 Web 应用程序由存在漏洞的 API 提供支持,我们面临着发现和利用这些漏洞的挑战!

OWASP API Top 10 Vulnerabilities: https://owasp.org/www-project-api-security/

Completely Ridiculous API (crAPI): https://github.com/owasp/crapi

Challenges: https://github.com/OWASP/crAPI/blob/develop/docs/challenges.md

  1. 导航到你的 crAPI 实例: https://<partner>-crapi.nnsworkshop.com
  2. 点击右上角的注册 Screenshot of crapi login screen
  3. 输入您的信息 Screenshot of crapi registration form
  4. 注册后,登录 Screenshot of first login to crAPI
  5. 点击 + Add a VehicleScreenshot of crAPI Add a Vehicle buttonScreenshot of crAPI Vehicle registration form
  6. 导航到您的 mailhog 实例: https://<partner>-mailhog.nnsworkshop.com
  7. 找到与您注册的地址相匹配的“电子邮件” Screenshot of searching for email in mailhogScreenshot of email content in mailhog
  8. 使用 mailhog 电子邮件中提供的 VIN 和 pin 码进行注册

Screenshot of crAPI saving vehicleScreenshot of crAPI dashboard with vehicle

4. Set Postman Up

4. Set Postman Up

Installation

Download Postman

  1. 安装 Postman
  2. 打开 Postman
  3. 系统将提示您创建帐户或登录。现在需要这样做才能设置工作区并导入收藏。您可以创建新帐户或使用 Google 登录 Screenshot of postman skip and go to app link

Import Collection

  1. 下载 Postman collection zip 文件: https://<partner>.nnsworkshop.com/guide/postman-collection.zip
  2. In Postman, 点击 import Screenshot of postman import button
  3. 点击 Upload Files 并导航到从 zip 文件中提取的文件夹
  4. 选择所有文件并导入 Screenshot of postman selecting files for importScreenshot of postman confirming selection for importScreenshot of postman after importing collection
  5. 导航至 Environments Screenshot of postman environments tab
  6. 点击 Globals Screenshot of postman globals settings
  7. 验证 URL 是否与您的 crAPI url一致: https://<partner>-crapi.nnsworkshop.com 确保在 Current Value 列中执行此操作 Screenshot of postman setting for crAPI url
  8. 代替 SET EMAIL AFTER REGISTERING 使用你在 crAPI 注册的虚假电子邮件地址
  9. 代替 SET PASSWORD AFTER REGISTERING 使用您在 crAPI 注册的密码
  10. 保存你的更改! Screenshot of postman save changes button