Друзі привіт, як ви? Ну шо як і завжди повертаємося про беспеку? Сьогодні хочу поділитись штукою, яка, як на мене, має бути у кожного хто працює з API - неважливо, ви QA, Dev чи просто хочете краще розуміти, що відбувається “під капотом”.Натрапив на дуже цікавий репозиторій - API Security Empire.І чесно, виглядає це як нормальний “центр управління польотами” по всіх темах безпеки для REST, GraphQL і SOAP.Що я маю вам сказать)Це зібрана в одному місці база знань по тестуванню безпеки API.Там є і майндмепи, і інструменти, і сценарії атак, і чеклісти - все, щоб не просто “тикати ендпоінти”, а реально розуміти, де слабкі місця.Реально прикольная структура• структуровані mindmap-и для розвідки і атак• нормальний список тулзів, якими реально користуються (Burp, FFUF, Arjun, Kiterunner, SecLists і т.д.)• сценарії атак під REST, GraphQL, SOAP• купа навчальних матеріалів - дуже зручно, якщо хочеш підтягнути або систематизувати знанняви же знаєте тестувати API тільки на “expected result”- це база.А от дивитися на API як на поверхню атаки - це вже зовсім інший рівень.Можна набагато краще розуміти архітектуру, поведінку запитів і логіку обробки даних.Ну і чесно, воно прокачує вашу інтуїцію QA дуже сильно.само репо:https://github.com/Cyber-Guy1/API-SecurityEmpireЯкщо хочете реально рости в темі API - це гарне місце почати або продовжити.Можу зробити окремий пост з тим, як КУА може використовувати ці техніки без пентест-скилів, але дуже ефективно.Всім гарного дня і настрою друзіСильні 💛💛💛