Hacking APIs|剖析Web API漏洞攻擊技法【金石堂】
1. 透過LINE購物進入蝦皮後禁止再透過蝦皮直播下單,避免訂單認列異常
2. 請務必「清空」蝦皮購物車,再透過LINE購物連結至蝦皮商店進行購買 ;先把商品加入購物車,再從LINE購物連結至蝦皮結帳,將無法獲得點數回饋。
3. 請避免連續下單,若您完成交易後,想下第二張訂單,請重新從LINE購物連結至蝦皮商店進行購買
4. 電子票券及繳費服務類別:回饋0%。
5. 請留意,蝦皮超市內的商品(蝦皮超市、蝦皮直送美妝、蝦皮免運直送)不隸屬於蝦皮商城,點數回饋請依照「蝦皮超市」商店頁為主。
6. 蝦皮商城之訂單適用於部分點數紅包,規範請依該紅包頁說明為主。
7. 點數回饋將依照蝦皮提供扣除折價券、運費與蝦幣後之最終金額進行計算。
8. 同一商品品項(即便不同尺寸規格),皆會計入同一筆返點上限進行計算
9. 用戶需於同一瀏覽器進行交易(若自動跳轉 APP,請在 APP交易)。
10. 若使用不同物流或付款方式,將拆分成不同筆訂單編號發送通知。
11. 若使用折價券折抵,可能會有攤提折抵導致訂單金額些微落差
12. 蝦皮會將LINE的導購跳轉紀錄與蝦皮的會員ID進行綁定,若後續七天內未透過其他媒體來源導入蝦皮官網,則七天內於該蝦皮帳號下訂的首筆訂單會被蝦皮認列為該LINE用戶導購跳轉時所成立之訂單。
13. 若同一用戶使用一個以上蝦皮帳號透過LINE購物進行導購,將可能導致無法收到導購通知,亦可能無法收到點數,再請留意。
[注意事項]
1.如導購途中用戶由網頁版(電腦版/手機版網頁)切換為 App 會造成追蹤中斷而無法進行 LINE Points 回饋
2.若購買過程中關閉蝦皮APP,則需重新透過LINE購物前往蝦皮商城,否則無法進行LINE POINTS 回饋。 / 3.如用戶先前往蝦皮商城將商品加入購物車,後續透過LINE購物前往至蝦皮商城將購物車結清,此方案將不列入 LINE Points 回饋
4.若因系統異常無法追蹤訂單,致使消費者無接收到點數回饋,蝦皮保有更改條款與法律追訴之權利
5. LINE購物商品價格若與蝦皮賣場實際價格有異,以蝦皮賣場價格為準商品描述
資安人員與開發人員必須知道的API弱點 「這是一本關於API漏洞攻擊的重要礦脈。」 -Chris Roberts, Vciso 破解和網際網路緊密相連的功能鏈 本書提供Web API安全測試的速成課程,讓讀者迅速備妥攻擊API的技巧、找出其他駭客經常錯過的缺陷,並讓自己的API更加安全。 這是一本實作導向的教材,一開始會先訴告你有關真實世界裡的REST API之工作模式,以及它們所面臨的安全問題,接著教你如何建置一套簡化的API測試環境,以及Burp Suite、Postman和其他測試工具(如:Kiterunner和OWASP Amass),這些工具可用來執行偵察、端點分析和模糊測試。掌握這些基礎技能後,便有能力攻擊API 身分驗證機制、程式邏輯缺失、專屬於API的漏洞(如XAS和批量分配)及Web App裡常見的注入漏洞。 研讀本書的過程中,讀者有機會攻擊特意安排的API漏洞,並學到下列技巧: ‧使用模糊測試技術枚舉API的使用者資訊和端點 ‧利用Postman探索資料過度暴露的漏洞 ‧針對API身分驗證過程執行JSON Web Token攻擊 ‧結合多種API攻擊技巧來實現NoSQL注入 ‧攻擊GraphQL API以找出不當的物件級授權漏洞 ‧學習使用Postman對API進行逆向工程 ‧從API提供的功能找出程式邏輯缺失 本書深入探討規避真實世界API防護機制的方法、針對GraphQL的駭侵技法,以及API駭客在星巴克和Instagram等服務中找到的一系列真實漏洞。