[書評しょひょう] ハッキングAPI ―Web APIを攻撃こうげきから守まもるためのテスト技法ぎほう

サマリ

ハッキングAPI―Web APIを攻撃こうげきから守まもるためのテスト技法ぎほう（2023年ねん3月がつ27日にち発売はつばい）を読よんだ。本書ほんしょは、Web APIに対たいするセキュリティテストの全体ぜんたい像ぞうと具体ぐたい的てきなテスト方法ほうほうを記載きさいしている。ペンテスターは、APIの検出けんしゅつ、APIエンドポイントの分析ぶんせき、攻撃こうげき（テスト）を行おこなう必要ひつようがあり、そのために必要ひつような情報じょうほうがすべて記載きさいされている。また、実習じっしゅうのためのツールと「やられサイト」を複数ふくすう紹介しょうかいし、具体ぐたい的てきなトレーニング方法ほうほうを解説かいせつしている。単たんにツールやサイトの使つかい方かたの説明せつめいにとどまらず、本格ほんかく的てきなペネトレーションテストの考かんがえ方かたを説明せつめいしている。
本書ほんしょの想定そうてい読者どくしゃはAPIのペネトレーションテストを実施じっしするペンテスター及およびペンテスターを目指めざす人ひとであるが、API開発かいはつ者しゃやウェブアプリケーション脆弱ぜいじゃく性せい診断しんだん員いんにとっても有益ゆうえきな内容ないようを多おおく含ふくむ。

重要じゅうよう事項じこう説明せつめい

• 本書ほんしょの監修かんしゅう者しゃの一人ひとり（洲崎すざき俊しゅん氏し）と評者ひょうしゃは知人ちじん関係かんけいにある
• 評者ひょうしゃが読よんだ書籍しょせきはご恵贈けいぞういただいたものである
• この記事きじのリンクにはアフィリエイトが含ふくまれる

APIセキュリティテストとは何なにか

まずは、本書ほんしょの主題しゅだいである「APIセキュリティテスト」を本書ほんしょでどのように定義ていぎしているかを紹介しょうかいしよう。以下いかは、本書ほんしょp3からの引用いんようである。

APIセキュリティテストは、一般いっぱん的てきなペネトレーションテストともWebアプリケーション診断しんだんとも異ことなります。APIが持もつ攻撃こうげき対象たいしょう領域りょういき（Attack Surface）の幅広はばひろさと複雑ふくざつさのため、多おおくのペンテスターはAPIセキュリティテストを独自どくじサービスとして位置いちづけています。

通常つうじょうのWebアプリケーション脆弱ぜいじゃく性せい診断しんだんでもAPIのテストは当然とうぜん含ふくまれるが、APIはウェブアプリケーションからだけ利用りようされるものではなく、IoT機器ききなどからも呼よび出だされる。この場合ばあい、IoTシステムとしてセキュリティテストあるいはAPI単体たんたいでのセキュリティテストが行おこなわれる。本書ほんしょで説明せつめいされるAPIセキュリティテストは、脆弱ぜいじゃく性せい診断しんだんというよりはペネトレーションテストである。

APIのペネトレーションテストを業務ぎょうむで経験けいけんできるエンジニアは限かぎられていると思おもうが、例たとえばバグバウンティプログラムに参加さんかして、公開こうかいAPIをテストするような機会きかいは、意欲いよくと技量ぎりょうさえあれば誰だれにでも与あたえらるし、本書ほんしょはバグバウンティプログラムに参加さんかするバグハンター向むけの注意ちゅういや心構こころがまえについても度々たびたび言及げんきゅうしている。

本書ほんしょの構成こうせい

ここで、本書ほんしょの構成こうせいについて紹介しょうかいしよう。本書ほんしょは4つの部ぶ、16の章しょうで構成こうせいされる。ここからも分わかるように、本書ほんしょは非常ひじょうに広範囲こうはんいのトピックについて扱あつかっている。

第だい1部ぶ API セキュリティの原理げんり

「第だい1部ぶ API セキュリティの原理げんり」では、後述こうじゅつの章しょう立だてからもわかるように。Web APIの基礎きそ知識ちしきと、0章しょうとしてAPIテストのスコープ（範囲はんい）、顧客こきゃくからテスト許可きょかを取得しゅとくすることの必要ひつよう性せいなどを説明せつめいしている。2章しょう Web APIの解剖かいぼう学がくでは、RESTful APIに加くわえてGraphQLについても簡単かんたんな説明せつめいをしている。JSON/XML/YAML等とうのデータ形式けいしき、APIの認証にんしょう方式ほうしき（BASIC認証にんしょう、APIキー、JWT、HMAC、OAuth2.0…）について説明せつめいする。REST APIおよびGraphQLを前提ぜんていとすることから、Cookieによるセッション管理かんりは本書ほんしょでは取とり扱あつかわれておらず、そのためかCSRF脆弱ぜいじゃく性せいやCookieのSameSite属性ぞくせいに関かんする説明せつめいは割愛かつあいされている。

• 0章しょう セキュリティテストへの準備じゅんび
• 1章しょう Webアプリケーションの仕組しくみ
• 2章しょう Web APIの解剖かいぼう学がく
• 3章しょう 一般いっぱん的てきなAPI脆弱ぜいじゃく性せい

3章しょうの「一般いっぱん的てきなAPI脆弱ぜいじゃく性せい」としては以下いかが紹介しょうかいされている。概おおむねOWASP API Security Top 10 2019と重かさなっているが、3.1 情報じょうほう漏ろうえいと3.11 ビジネスロジックの欠陥けっかんは独自どくじに追加ついかしたものである。

• 3.1 情報じょうほう漏ろうえい
• 3.2 オブジェクトレベルの認可にんか不備ふび (BOLA)
• 3.3 ユーザ認証にんしょうの不備ふび
• 3.4 過剰かじょうなデータ露出ろしゅつ
• 3.5 リソース不足ふそくとレート制限せいげん
• 3.6 機能きのうレベルの認可にんか不備ふび (BFLA)
• 3.7 マスアサインメント
• 3.8 セキュリティ設定せっていミス
• 3.9 インジェクション
• 3.10 不適切ふてきせつな資産しさん管理かんり
• 3.11 ビジネスロジックの欠陥けっかん

第だい2部ぶ APIテストラボの構築こうちく

• 4章しょう API ハッキングラボの構築こうちく
• 5章しょう 脆弱ぜいじゃくなAPIラボ環境かんきょうの準備じゅんび

第だい2部ぶはAPIテストのための実習じっしゅう環境かんきょうとして、診断しんだんツールと脆弱ぜいじゃくなAPI環境かんきょうを準備じゅんびする。診断しんだんツールとしては、Burp Suite、Postman、Wfuzzが大だい活躍かつやくすることになるが、これら以外いがいにOWASP Amass、KiterunnerなどAPIを発見はっけんするためのツールも紹介しょうかいされており興味深きょうみぶかい。脆弱ぜいじゃくなAPI環境かんきょうとしてはcrAPIなど数すう種しゅを紹介しょうかいしている。また、訳注やくちゅうの形かたちで拙作せっさくのBad Todoも紹介しょうかい頂いただいていた（APIではなく古典こてん的てきなWebアプリケーションとして）。

第だい3部ぶ APIへの攻撃こうげき

第だい3部ぶは、いよいよAPIの実際じっさいのテスト（攻撃こうげき）を説明せつめいする。第だい3部ぶの章しょう立だては以下いかの通とおりである。

• 6章しょう APIの検出けんしゅつ
• 7章しょう エンドポイント分析ぶんせき
• 8章しょう 認証にんしょうへの攻撃こうげき
• 9章しょう ファジング
• 10章しょう 認可にんかへの攻撃こうげき
• 11章しょう マスアサインメント
• 12章しょう インジェクション攻撃こうげき

まず6章しょうと7章しょうでAPIの検出けんしゅつと分析ぶんせきを行おこなうが、この2章しょうは十分じゅうぶんな紙面しめんを使つかって詳くわしく説明せつめいされている。このあたりが、よくある「ハッカー入門にゅうもん」的てきな書籍しょせきとは異ことなり、本書ほんしょが実務じつむ的てきな内容ないようになっていることの表あらわれのように思おもえる。
6章しょう APIの検出けんしゅつでは、OSINT的てきな手法しゅほうを活用かつようしてAPIを検出けんしゅつする。通常つうじょうの脆弱ぜいじゃく性せい診断しんだんではAPIエンドポイントの情報じょうほうは開示かいじされるので、このステップは省略しょうりゃくされるが、本書ほんしょでいう「ブラックボックス型がたテスト」では、APIの検出けんしゅつから始はじまるのでこのステップが必要ひつようになる。

7章しょうのエンドポイント分析ぶんせきは、APIの正常せいじょう系けいの仕様しようを把握はあくするステップであり、ウェブアプリケーション脆弱ぜいじゃく性せい診断しんだんのサイト巡回じゅんかい（クローリング）に相当そうとうする。APIの仕様しようはドキュメント化かされている場合ばあいも多おおいが、そうでない場合ばあい、アプリケーション経由けいゆのAPI通信つうしんをキャプチャすることになる。このステップは本書ほんしょではリバースエンジニアリングと表現ひょうげんされている。通信つうしんのキャプチャはBurp Suite等とうの診断しんだんプロキシを用もちいることもできるが、本書ほんしょでは主おもにPostmanを使用しようする。Postmanのプロキシ機能きのう（評者ひょうしゃは本書ほんしょを読よむまで知しらなかった）を用もちいて、API仕様しようを明確めいかくにする。7章しょうの後半こうはんは情報じょうほう漏洩ろうえいや過剰かじょうなデータ露出ろしゅつ等とう、ファジングを伴ともなわない脆弱ぜいじゃく性せい検査けんさを行おこなう。

8章しょうから12章しょうはさまざまな攻撃こうげきによるセキュリティテストである。8章しょうの前半ぜんはんはパスワード認証にんしょうに対たいする辞書じしょ攻撃こうげきやパスワードスプレイなど古典こてん的てきな攻撃こうげきだが、Hydraのようなパスワード解析かいせき専用せんようツールではなく、Burp Suite IntruderやWfuzz等とうのファジング用ようのツールを使つかっている。パスワードスプレイの場合ばあい、ユーザIDのリストが必要ひつようになるが、6章しょうで解説かいせつした偵察ていさつや7章しょうの過剰かじょうなデータ露出ろしゅつ脆弱ぜいじゃく性せいを利用りようできるとする。8章しょうの後半こうはんは、トークンやJWTに対たいする攻撃こうげきで、ブルートフォースを含ふくむ攻撃こうげき手法しゅほうを解説かいせつしている。

9章しょうで説明せつめいされるファジングとは異常いじょうなデータをAPIに送信そうしんして意図いとしない結果けっかを引ひき起おこすことである。ファジングにはワイドファジング（広ひろく浅あさく）とディープファジング（狭せまく深ふかく）があり、前者ぜんしゃにはPostmanのCollection Runnerを用もちい、後者こうしゃにはBurp Suite IntruderやWfuzzを用もちいている。評者ひょうしゃはPostmanを使つかってはいたが、もっぱらAPIの機能きのう的てきなテストの目的もくてきであり、ファジングに用もちいる発想はっそうがなかったので勉強べんきょうになった。

10章しょうは認可にんかへの攻撃こうげきである。認可にんか脆弱ぜいじゃく性せいに関かんしては特とくに目新めあたらしいものではないが、テストの観点かんてんとツールの効果こうか的てきな使つかい方かたは興味深きょうみぶかい。ここでも、Postmanを効果こうか的てきに使用しようしている。

11章しょうはマスアサインメントに対たいする攻撃こうげきである。マスアサインメント脆弱ぜいじゃく性せいとは、主おもに更新こうしん系けいのAPIで、「変更へんこうできてはいけない項目こうもくを変更へんこうできる」問題もんだいであり、過去かこのGithubの事例じれいが有名ゆうめいである。例たとえば、利用りよう者しゃが自身じしんのメールアドレスやパスワードを変更へんこうできるのは問題もんだいないが、テーブル上じょうのadmin列れつをtrueに勝手かってに変更へんこうできたら大だい問題もんだいである。API呼よび出だしにadmin=trueを追加ついかするだけで意図いとしないadmin列れつの更新こうしんができる場合ばあいがマスアサインメント脆弱ぜいじゃく性せいである。Ruby on Rails 4以降いこうではStrong Parametersと言いう機能きのうによりマスアサインメントに対策たいさくしている。マスアサインメントのテスト自体じたいは簡単かんたんなのだが、問題もんだいは「変更へんこうできてはいけないパラメータ（先さきの例れいではadmin）」をどう発見はっけんするかである。本章ほんしょうでは、マスアサインメント可能かのうなパラメータの探索たんさくについていくつかの方法ほうほうを説明せつめいしている。

12章しょうはインジェクションということで、クロスサイトスクリプティング(XSS)やSQLインジェクションなどが含ふくまれる。有名ゆうめいな脆弱ぜいじゃく性せいであるからか、この章しょうの説明せつめいは簡潔かんけつなものである。12.4.1項こうで説明せつめいされるSQLインジェクション攻撃こうげき文字もじ列れつは、あまり凝こったものではないし、本番ほんばん環境かんきょうで試ためすには危険きけんなものが含ふくまれていて評者ひょうしゃはぎょっとした（p304）。だが、直後ちょくごに訳者やくしゃによる適切てきせつなコラム「SQLインジェクションのテストを実施じっしする際さいの注意ちゅういと補足ほそく（pp305-306）」があり、評者ひょうしゃは安心あんしんした。もっとも、コラム内ないの文字もじ列れつ「’||’」や「’+’」もMySQLの場合ばあいは危険きけんなので、SQLインジェクション検査けんさは厳重げんじゅうな注意ちゅういが必要ひつようである（参考さんこう:とある診断しんだん員いんとSQLインジェクション）。

第だい4部ぶ 実じつ世界せかいにおけるAPI攻撃こうげき

第だい4部ぶは、「実じつ世界せかいにおけるAPI攻撃こうげき」というテーマで、13章しょうはバイパス技術ぎじゅつの応用おうようとレート制限せいげんテストとして、バリデーションやWAF、APIの利用りよう制限せいげんを回避かいひする技術ぎじゅつといういかにもハッカー的てきなテーマ、14章しょうは皆みなさん大好だいすきGraphQLへの応用おうよう、15章しょうでは、APIの脆弱ぜいじゃく性せいが情報じょうほう漏洩ろうえいやバグバウンティでどのように発見はっけんされたかを紹介しょうかいしている。

• 13章しょう バイパス技術ぎじゅつの応用おうようとレート制限せいげんテスト
• 14章しょう GraphQLへの攻撃こうげき
• 15章しょう データ侵害しんがいとバグバウンティ

本書ほんしょのすごいところ

本書ほんしょの眼目がんもくは、APIセキュリティテストの方法ほうほう論ろんに徹底てっていしているところである。それは、APIを検出けんしゅつするところから始はじまる。種々しゅじゅの検出けんしゅつ手法しゅほうは、APIそのものを探さがすだけではなく、マスアサインメント可能かのうなパラメータを探さがす場合ばあいにも応用おうようできるもので、この種たねの解説かいせつは非常ひじょうに貴重きちょうなものだ。
また、テストに使つかうツールの説明せつめいも詳くわしい。筆者ひっしゃは主おもにBurp SuiteやPostmanなどの汎用はんよう的てきなツールを使つかい、Burp SuiteのIntruderやPostmanのCollection Runnerによりファジングだけでなく、パスワードに対たいする辞書じしょ攻撃こうげきやマスアサインメントのパラメータ探索たんさくにも用もちいる。その他たにも多おおくのツールが紹介しょうかいされているが、評者ひょうしゃには、汎用はんようツールの使つかいこなしこそ勉強べんきょうすべきだと思おもえた。
さらには、テストに対たいする心構こころがまえや、方針ほうしんの立たて方かたなど、現役げんえきのペンテスターならではの知見ちけんが学まなべるところも、本書ほんしょならではの価値かちといえる。

本書ほんしょで扱あつかってない内容ないよう

本書ほんしょで扱あつかっていない項目こうもくについても紹介しょうかいしよう。
まず、現在げんざいAPIの主流しゅりゅうであるRESTfulAPIはステートレスだからCookieによるセッション管理かんりは行おこなわないという主張しゅちょうから、Cookie関連かんれんの記載きさいは一切いっさいない。これに関連かんれんして、以下いかの項目こうもくもない。

• Cookieに関かんする説明せつめい（例たとえばSameSite属性ぞくせいを含ふくめ、Cookieの言及げんきゅうがない）
• セッション管理かんり（トークン類るいの保存ほぞん場所ばしょはlocalStorageかCookieか等とう）
• APIのCSRF（Content-Type、CORSとの関連かんれんを含ふくむが、そもそもCSRFの言及げんきゅうがない）

また、Web APIの基礎きそとしてJSONなどの説明せつめいはあるが、同どう一いちオリジンポリシーやCORSの説明せつめいはない。
XSSの話題わだいは少すこし出でているが、Content-Typeの話題わだいはない。例たとえば、以下いかのケースは、レスポンスボディの見みかけ上じょうはXSSだが、Content-Type: application/jsonなのでJavaScriptは実行じっこうされない。この種たねの話題わだいは、他たの本ほん（例たとえば拙著せっちょ）で学まなぶ必要ひつようがある。

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 43

{"message": "<img src=x onerror=alert(1)>"}

その他た、触ふれられてないテーマの例れいとして下記かきがある。

• JSONP（RESTfulAPIだから関係かんけいない）
• CSP（API側がわだから無関係むかんけいというのは分わかる）
• X-Content-Type-OptionsやHSTSなどのレスポンスヘッダ（侵入しんにゅうとは直接ちょくせつ関係かんけいがないからか?）
• 脆弱ぜいじゃく性せいの対策たいさく方法ほうほう

注意ちゅうい点てん

筆者ひっしゃは根ねっからのペンテスター気質きしつという感かんじで、例たとえば、以下いかのような記載きさいがある（p301）。

プロバイダのAPIがコンテンツを追加ついかしたり、そのWebアプリケーションに変更へんこうを加くわえる場合ばあい、脆弱ぜいじゃく性せいが存在そんざいしないか探さがすべきかもしれません。

これに対たいしては、下記かきの訳注やくちゅうがついている。

一般いっぱんに、許可きょかなくサードパーティAPIをテストすることは許ゆるされていないケースが多おおいため、注意ちゅういが必要ひつようです。

また、以下いかのような記載きさいもある(p115)。

筆者ひっしゃは、Webアプリケーションの存在そんざいを発見はっけんすると、すぐにNiktoでスキャンを行おこないます。

おそらく文脈ぶんみゃく的てきには「セキュリティテストの過程かていでWebアプリケーションを発見はっけんすると…」ということであろうが、Niktoも脆弱ぜいじゃく性せい診断しんだんツールの一ひとつではあるので、許可きょかなくNiktoスキャンを行おこなうことは問題もんだいがある。

本書ほんしょの眼目がんもくは訳者やくしゃの知見ちけんにある

本書ほんしょは、本格ほんかく的てきなAPIセキュリティテストの書籍しょせきの和訳わやくというだけで価値かちが高たかいものであるが、次つぎの点てんにおいて、価値かちが倍加ばいかしていると考かんがえる。

• 原書げんしょの出版しゅっぱん後ごに利用りようサイトやツールのバージョンアップ、サイトの閉鎖へいさ等とうに伴ともなう利用りよう法ほうの変更へんこうや代替だいたい手段しゅだんの説明せつめいがあること
• 豊富ほうふな訳注やくちゅうと訳者やくしゃコラムにより、原書げんしょの説明せつめい不足ふそくや、日本にっぽんの読者どくしゃになじみのない一般いっぱん知識ちしき（例たとえばAcmeの意味いみ）が補足ほそくされていること
• 訳注やくちゅうでの参考さんこう情報じょうほうの記載きさいがとても豊富ほうふであり、追加ついかの勉強べんきょうのために役立やくだつこと

したがって、読者どくしゃが英語えいごに堪能かんのうであったとしても、それでもこの和訳わやくを選択せんたくする価値かちは十分じゅうぶんにある。また、参考さんこうリンクが豊富ほうふであることから、買かうなら電子でんし版ばん(PDF)が圧倒的あっとうてきにお勧すすめである。評者ひょうしゃはレビューを紙かみ版ばんで行おこなったが、電子でんし版ばんも購入こうにゅうした。
翻訳ほんやくはこなれていて、問題もんだいとなるような箇所かしょはなかった。

本書ほんしょの使つかい方かた

本書ほんしょのお勧すすめの活用かつよう法ほうは以下いかのようなものであろう。

• 4章しょう「APIハッキングラボの構築こうちく」と5章しょう「脆弱ぜいじゃくなAPIラボ環境かんきょうの準備じゅんび」に従したがい実習じっしゅう環境かんきょうを準備じゅんびする
• 各かく章しょうを読よむ
• 章あきら末まつに示しめされた実習じっしゅうを行おこなう
• 本書ほんしょを読よむだけでは分わからない箇所かしょを訳注やくちゅうの参考さんこう文献ぶんけんに従したがって勉強べんきょうする

かなり時間じかんがかかるはずだが、それだけの価値かちは必かならずある。

まとめ

• 本書ほんしょはAPIセキュリティテストに関かんする実践じっせん的てきなガイドである
• ツールの紹介しょうかいが多おおいが、読者どくしゃはツールを能動のうどう的てきに活用かつようする必要ひつようがあり、そのための情報じょうほうが本書ほんしょにはある
• 訳注やくちゅうおよび訳者やくしゃコラムは価値かちが非常ひじょうに高たかく、それだけで訳書やくしょを選択せんたくする理由りゆうになる
• 買かうなら絶対ぜったいに電子でんし版ばん(PDF)をお勧すすめする