КАК ВЗЛОМАТЬ BACKEND ЧЕРЕЗ API: РАЗБОР УЯЗВИМОСТЕЙ 2026
Получи скидку по промокоду "DAVID" на курс «Анонимность 3.0» — искусство цифровой невидимости в эпоху AI: https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0?utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Надёжные прокси – 5% по промокоду "DAVID": https://app.cyberyozh.com/ru/proxy/?pid=fe78d6e007334ce2b6d1f5874026ed66&utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Реферальная система CyberYozh Academy: https://academy.cyberyozh.com/referral/?utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Приглашайте друзей в Академию CyberYozh - и получайте бонусы и скидки за каждого, кто присоединится по вашему промокоду. Telegram-канал CyberYozh: https://t.me/cyberyozh_official CyberYozh Support: https://t.me/cyacademy_support GitHub: https://github.com/CyberYozh/david-needls/blob/main/test_api.py ======================================== РАБОТА С API: ВЗЛОМ И ЗАЩИТА ДЛЯ КИБЕРБЕЗОПАСНИКА API (Application Programming Interface) — это сердце современного интернета. В этом видео разберем, как работают запросы между фронтендом и бэкендом, и почему ошибки в их логике приводят к критическим утечкам данных. В выпуске: Теория API: Как Frontend общается с Database через Backend. Практика c cURL: Разбор GET-запросов на примере Cat API. Собственный стенд на Flask: Поднимаем локальное API для тестов. IDOR (Insecure Direct Object Reference): Как получить данные чужого профиля, просто меняя ID. Header Manipulation: Манипуляция ролями (Admin) через заголовки запроса. Burp Suite в деле: Использование Repeater и Intruder для автоматизации атак. Bash-скриптинг: Пишем цикл для брутфорса API без Rate Limiting. #этичныйхакинг #APIsecurity #CyberYozh #IDOR #BurpSuite #Python #Flask #кибербезопасность #пентест #cURL ======================================== Дисклеймер! Этот контент — для обучения цифровой безопасности. Мы не пропагандируем незаконные действия и не несём ответственности за их использование. Вся информация предоставлена только в целях самообразования и повышения квалификации. Настоятельно рекомендуем соблюдать законы и уважать права других людей. Тестируйте только на легальных платформах. ======================================== Таймкоды: 00:00 — Введение: зачем хакеру и программисту знать API 00:28 — Схема работы API: Frontend, Mobile и Backend 01:46 — Разбор реального API: GET-запросы и получение данных 03:11 — Поднимаем свое API на Flask: разбор кода с GitHub 04:04 — Создание виртуального окружения и запуск сервера 05:12 — Работа с cURL: делаем первый запрос к локальному юзеру 06:03 — Уязвимость IDOR: получение паролей других пользователей 06:44 — Защита в эпоху ИИ и дипфейков 07:29 — Header Manipulation: как обмануть сервер и стать админом 08:16 — Почему Debug-режим на продакшене — это фатальная ошибка 08:51 — Burp Suite: перехват запросов и работа в Repeater 09:48 — Атака через Intruder: автоматизируем перебор ID 11:07 — Пишем Bash-скрипт (For Loop) для брутфорса логина 12:04 — Отсутствие Rate Limiting: последствия для безопасности 12:11 — Итоги и код в описании
Получи скидку по промокоду "DAVID" на курс «Анонимность 3.0» — искусство цифровой невидимости в эпоху AI: https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0?utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Надёжные прокси – 5% по промокоду "DAVID": https://app.cyberyozh.com/ru/proxy/?pid=fe78d6e007334ce2b6d1f5874026ed66&utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Реферальная система CyberYozh Academy: https://academy.cyberyozh.com/referral/?utm_source=youtube&utm_medium=CyberYozh&utm_campaign=api_hacking_david&myshare=42G9CXVR Приглашайте друзей в Академию CyberYozh - и получайте бонусы и скидки за каждого, кто присоединится по вашему промокоду. Telegram-канал CyberYozh: https://t.me/cyberyozh_official CyberYozh Support: https://t.me/cyacademy_support GitHub: https://github.com/CyberYozh/david-needls/blob/main/test_api.py ======================================== РАБОТА С API: ВЗЛОМ И ЗАЩИТА ДЛЯ КИБЕРБЕЗОПАСНИКА API (Application Programming Interface) — это сердце современного интернета. В этом видео разберем, как работают запросы между фронтендом и бэкендом, и почему ошибки в их логике приводят к критическим утечкам данных. В выпуске: Теория API: Как Frontend общается с Database через Backend. Практика c cURL: Разбор GET-запросов на примере Cat API. Собственный стенд на Flask: Поднимаем локальное API для тестов. IDOR (Insecure Direct Object Reference): Как получить данные чужого профиля, просто меняя ID. Header Manipulation: Манипуляция ролями (Admin) через заголовки запроса. Burp Suite в деле: Использование Repeater и Intruder для автоматизации атак. Bash-скриптинг: Пишем цикл для брутфорса API без Rate Limiting. #этичныйхакинг #APIsecurity #CyberYozh #IDOR #BurpSuite #Python #Flask #кибербезопасность #пентест #cURL ======================================== Дисклеймер! Этот контент — для обучения цифровой безопасности. Мы не пропагандируем незаконные действия и не несём ответственности за их использование. Вся информация предоставлена только в целях самообразования и повышения квалификации. Настоятельно рекомендуем соблюдать законы и уважать права других людей. Тестируйте только на легальных платформах. ======================================== Таймкоды: 00:00 — Введение: зачем хакеру и программисту знать API 00:28 — Схема работы API: Frontend, Mobile и Backend 01:46 — Разбор реального API: GET-запросы и получение данных 03:11 — Поднимаем свое API на Flask: разбор кода с GitHub 04:04 — Создание виртуального окружения и запуск сервера 05:12 — Работа с cURL: делаем первый запрос к локальному юзеру 06:03 — Уязвимость IDOR: получение паролей других пользователей 06:44 — Защита в эпоху ИИ и дипфейков 07:29 — Header Manipulation: как обмануть сервер и стать админом 08:16 — Почему Debug-режим на продакшене — это фатальная ошибка 08:51 — Burp Suite: перехват запросов и работа в Repeater 09:48 — Атака через Intruder: автоматизируем перебор ID 11:07 — Пишем Bash-скрипт (For Loop) для брутфорса логина 12:04 — Отсутствие Rate Limiting: последствия для безопасности 12:11 — Итоги и код в описании