Shikata Ga Nai

Private? There is no such things.

トップ > API

API

OAuthの仕組み、使用例、リスクについてまとめてみた

API

Hello there, ('ω')ノ OAuthは、現在のウェブで最も広く使用されている認証(AuthN)および認可(AuthZ)の仕組みの一つです。この技術により、ユーザは複数のアプリケーションにわたって安全にログインし、データを共有できます。しかし、適切に実装しない…

Basic認証(Basic Authentication)の基礎とリスクについてまとめてみた

API

Hello there, ('ω')ノ Basic認証は、最も単純な認証方法の一つで、主にウェブサーバやAPIで利用されることがあります。しかし、セキュリティ上の問題が多く、現在では推奨されない方法です。 1. Basic認証とは? Basic認証は、クライアントがサーバにアクセ…

APIキーとその管理に関する基本とツールの使い方についてまとめてみた

API

Hello there, ('ω')ノ APIキーは、クライアント(アプリケーション、ユーザ、または他のサービス)がAPIサーバと通信するときに使用する認証(AuthN)および認可(AuthZ)の基本メカニズムです。 1. APIキーとは? APIキーの役割: APIキーは、クライアントが…

APIの認証メカニズムの理解と比較についてまとめてみた

API

Hello there, ('ω')ノ API認証(Authentication、AuthN)は、システムやデータへのアクセスを制御するために不可欠な仕組みです。 1. 認証不要なAPIの例 一部のAPIは、認証なし(AuthN不要)で機能します。これらは主に読み取り専用の操作を提供し、公開デー…

OSINT(オープンソース情報収集)の活用法とAPI調査についてまとめてみた

API

Hello there, ('ω')ノ OSINT(Open Source Intelligence)は、公開されている情報を収集・分析するための一連の技術を指します。近年、この分野は急成長しており、APIセキュリティやエンドポイントの調査でも非常に役立ちます。 1. OSINTとは? OSINTは、公…

APIドキュメントとエンドポイントの分析についてまとめてみた

API

Hello there, ('ω')ノ APIドキュメントとエンドポイントの分析は、APIの仕組みやセキュリティの弱点を理解するための重要なステップです。 1. APIドキュメントの分析 1.1 ドキュメントを読むツール APIドキュメントを分析するためには、以下のツールが便利で…

crAPIを使ったAPIセキュリティの分析についてまとめてみた

API

Hello there, ('ω')ノ crAPIという意図的に脆弱性を含むAPIを使用して、セキュリティ上の問題点を学ぶことに。 GitHub - OWASP/crAPI: completely ridiculous API (crAPI) 1. crAPIの概要とセットアップ 1.1 crAPIとは? crAPIは、意図的に脆弱性を含むRESTf…

WebGoatの解析と初歩的なAPIセキュリティテストについてまとめてみた

API

Hello there, ('ω')ノ セキュリティ学習用ツールWebGoatは、セキュリティ脆弱性を理解し、それを修正するスキルを習得するための学習環境を提供します。また、今回は補助ツールとしてWiresharkやcurlも使用します。 環境の準備 1. 必要なツール Docker: WebG…

APIの特定と列挙方法をまとめてみた

API

Hello there, ('ω')ノ 1. パッシブリコン(受動的な情報収集) パッシブリコンは、APIと直接やり取りすることなく、外部から公開されている情報を収集する方法です。この方法では、以下のような手段を活用します。 1.1 公開ドキュメントの検索 多くのAPIプロ…

APIの一般的な脆弱性と対策についてまとめてみた

API

Hell there, ('ω')ノ APIはアプリケーション同士をつなぐ重要な役割を果たしますが、その設計や管理に問題があると、重大なセキュリティリスクを引き起こす可能性があります。 1. 認証 (AuthN) と認可 (AuthZ) の課題 認証 (Authentication) と認可 (Authori…

APIセキュリティの重要性についてまとめてみた

API

Hello there, ('ω')ノ APIはアプリケーション同士をつなぐ重要な仕組みですが、適切なセキュリティ対策が施されていないと、大きなリスクを伴います。 APIセキュリティの基本 APIは、外部とやり取りするための「玄関口」として、特に攻撃者のターゲットにな…

GraphQLについてまとめてみた

API

Hello there, ('ω')ノ GraphQLの基本とは? GraphQLはその名前の通り、APIが提供するデータを「クエリ(質問)」するための言語です。ただし、これは単なる言語ではなく、API通信を成功させるための一連のルール(プロトコル)を含んでいます。 開発の歴史: …

JSON-RPCについてまとめてみた

API

Hello there, ('ω')ノ JSON-RPCは、シンプルなJSON形式を使ってクライアントとサーバー間でデータをやり取りする仕組みで、特に高パフォーマンスが求められる場面で有効です。 JSON-RPCの特徴 非同期通信 JSON-RPCの大きな特徴は、クライアントがサーバーに…

gRPCについてまとめてみた

API

Hello there, ('ω')ノ gRPCは、Googleが開発した強力な通信プロトコルで、特に分散システムやマイクロサービスで活用されています。 gRPCの基本的な仕組み gRPCの中心的なアイデアは、「離れた場所にある関数を、あたかも自分のコード内の関数のように呼び出…

REST APIについてまとめてみた

API

Hello there, ('ω')ノ 今回は「REST API」についてわかりやすく解説します。 RESTは、シンプルで柔軟なAPIの設計手法で、現在多くのウェブサービスで採用されています。 REST APIの基本とは? ステートレスな設計 RESTはステートレス、つまり「状態を保持し…

SOAPの仕組みをわかりやすく解説してみた

API

Hello there, ('ω')ノ SOAPは少し古い技術ですが、信頼性の高いシステムでいまだに使われています。その仕組みをもう少し詳しく見てみましょう。 SOAPメッセージの基本構成 SOAPでやり取りされるメッセージ(データ)は、XML形式で書かれています。以下のよ…

APIの種類についてまとめてみた

API

Hello there, ('ω')ノ APIはアプリやシステムをつなぐ「橋渡し」のようなもの。 非エンジニアの方でも理解できるように、できるだけわかりやすくお伝えします。 代表的なAPIプロトコル APIにはいろいろな種類がありますが、ここではよく使われる5つを紹介し…

APIセキュリティの基本と実践的なポイント

API

Hello there, ('ω')ノ APIは、アプリやシステム同士をつなぐ重要な役割を果たしていて、現代のテクノロジーには欠かせない存在です。 でも、その分攻撃のターゲットになることも多いんですよね。だからこそ、セキュリティの知識は必須です。 まず、APIの種類…