API
API Security
API Course Introduction
หลักสูตรนี้จะเน้นการสร้างความปลอดภัยให้กับ Web API โดยจะเริ่มตั้งแต่การทำความเข้าใจการทำงานของ API ในรูปแบบต่างๆ ทั้ง REST, GraphQL และ gRPC ซึ่งในหลักสูตรนี้เราจะเน้นที่ความปลอดภัยของ REST API เป็นหลักเนื่องจากเป็น Common practices ของการทำ Web API และปัญหาใหญ่ที่สุดของ API คือเรื่องของ Authorization เราจึงต้องทำความเข้าใจการทำงานของ OAuth2(Authorization Framework ที่ถูก Implement มากที่สุด) เพื่อที่จะได้เลือก Flow การทำงานได้อย่างถูกต้อง
API Course Objectives
- เข้าใจการทำงานพื้นฐานของ REST API
- รู้จัก Technology ที่ใช้ในการทำ Web API
- เข้าใจธรรมชาติและปัญหาของ Web API
- เข้าใจการทำงานของ JWT และ OAuth2
- รู้ว่าต้องทำอย่างไรเพื่อให้ Web API ของเราปลอดภัย
Target Group
- Software Engineer
- Software Developer
- Software Tester
Course Outline of API
Day 1
- Overview of the security threats
- Introduction to OWASP Project
- OWASP Top 10
- OWASP API Top 10
- OWASP REST Security
- OWASP REST Cheatsheet
- API Best practices
- What is REST API
- What is GraphQL
- What is gRPC
- REST vs RPC
- HTTP Method
- HTTP Request and Response
- Manipulate resources
- Using API Gateway
Day 2
- API Testing
- Open API Specification (OAS)
- Automated Testing with Postman
- Automated Testing with SoapUI
- Performance Testing with jMeter
- Same-origin policy
- Defining origin
- Cross-site scripting attack (XSS)
- Cross-site request forgery attack (CSRF)
- Enable Cross Origin Resource Sharing (CORS)
Day 3
- SSL Encrypted API Traffic
- Man in the Middle attack
- Rejecting invalid certificates
- Identifying Invalid Certificates
- Certificate Pinning
- Secure RESTful API
- Require Https
- How to CORS work
- Middleware concepts
- Add CORS middleware
- Versioning your API
- Secure API endpoints
- API Rate Limiting
- Self-documentation and HATEOAS
- Logging and Monitoring services
- HTTP Exception handling
- Defence in Depth with Microservices