電商技術解密:電商網站會存在哪些安全隱患
風控,簡單來說就是風險的控制,隨著整個互聯網技術的發展,有另外一種技術也在默默的發展、壯大,甚至形成一種上下游閉環的產業鏈,即“黑產”。黑產遍布整個互聯網各行各業、各個角落,今天來跟大家說說關于電商黑色產業哪些事兒。
在電商的研發體系中有一個叫做“風控”的部門,整個部門負責保障整個網站的安全、可靠。是一個比較神秘的組織,每天需要與形形色色的黑客、黃牛斗智斗勇。
那么一個電商網站會存在哪些安全隱患呢?
1.數據的泄露
數據的重要性不言而喻,尤其是電商的數據,包含了個人信息(姓名、性別、收貨地址、電話)以及購物信息,還是比較敏感的,現在國內比較大的電商平臺都在搞大數據,可以算出每個用戶的喜好是什么,根據每個人的不同喜好做定制的推送。甚至像阿里、京東在搞的金融業務,背后也是依賴這些常年積累下來的用戶數據,基于這些數據可以對用戶進行信用評級。
如果這些數據遭到泄露公司將受到巨大的損失,用戶也會受到相應的損害,現在大家經常收到的各類騷擾電話,就是廣告商通過各種渠道拿到用戶信息,這信息基本都來自非正常渠道。
之前網上有黑客爆料過多家知名網站的用戶數據信被竊取,如果爆料情況屬實,那么可以看出我們目前所處的互聯網環境并沒有那么的安全,只是在不知不覺中我們的數據已經被泄露。好消息是目前關于安全的問題各大公司已經開始非常重視,尤其是用戶的隱私信息,所以這里建議大家不要在一些不是很出名的網站上留下個人的敏感信息,因為目前中小網站的自我保護能力還沒那么的強。
2.黃牛刷單
電商平臺常用的促銷手段一般為滿減、滿贈,當有稀缺商品或者價格力度比較大的話會上秒殺。由于活動促銷確實非常給力,這時候會招來黃牛,黃牛可以說大家都比較熟悉了,在火車站旁、在醫院旁、在演唱會門口、在電影院、在體育館。。??梢哉f只要有稀缺資源的地方都有黃牛的身影。
在電商網站上只要搞大型促銷活動,也會出現黃牛的身影。但是商家搞促銷活動是希望能夠吸引新用戶,激活老用戶,本質是一種花錢買潛在用戶的過程,所以商家才愿意賠本搞促銷。如
果商家投入了很大的成本搞了一場促銷,結果他的商品都被黃牛買走了,真正它希望的目標用戶沒有買到,那么這是商家不愿意看到的情況;這個時候就需要電商平臺有辦法、有機制能夠識別出黃牛,這就是一個跟黃牛斗智斗勇的過程。
互聯網時代的黃牛也會使用互聯網的工具,不僅僅像線下一樣單純靠人肉、體力去排隊。互聯網時代的黃牛會采用更智能化的工具,自動進行熱門商品的搶購。
每年過年回家的時候相信大家都使用過自動搶票工具,黃牛使用的工具類似,只是對象變成了個各大平臺的促銷商品,這里的工具需要針對每個電商平臺的特定協議進行定制開發。所以現在的黃牛已經不僅僅是一個人,已經是一個生態閉環的產業鏈:
- 有人專門提供工具
- 有人專門負責收集各大平臺促銷信息
- 有人負責定時的搶購商品
- 有人負責將搶到的商品通過各種渠道賣出去。
已經是一個比較專業的團隊,團隊內部分工明確,專業度也較高,這就為電商平臺帶來了比較大的挑戰。是一個魔高一尺道高一丈的不斷升級對抗的過程。
3.惡意攻擊
上面提到的黃牛刷單盡管對業務有一定的影響,但不管怎樣人家也是付了錢買東西的。還有一類更惡意的攻擊就是他不僅不買東西,還讓正常的用戶無東西可以買。
這種惡意行為又具體分為兩類:
其一是鉆空子
因為現在電商平臺下單有一個業務的邏輯是:如果你下了單,但是沒付款,那么這個商品的庫存會被你先占用掉,等30分鐘你仍然不付款,那么系統會將這個訂單自動取消,然后釋放庫存。但是在這30分鐘內你購買的商品庫存是被你占用的,別人無法購買。
有點抽象,舉個例子。
如果你在京東上買了一個iPhone7,這部iPhone7 京東的倉庫里面一共有100件,你下單后京東會幫你鎖定一件庫存,表示你有購買意愿,給你預留著,等你付款后倉庫會幫你發貨。如果你30分鐘沒付款系統會把你的訂單取消,但是在你下了單沒付款的這30分鐘里面,京東實際對外只能賣99件iPhone7,盡管他倉庫里面有100件,因為有一件是給你預留的。
主流的電商基本都是這么玩的,只是大家等待的時間不一樣,有的是半個小時、有的是1個小時、有的是2個小時。
有人利用這個業務特點會寫工具進行批量下單但是不付款,導致電商平臺上某段時間熱門商品無法售賣,像上面的例子,如果黑客知道京東有100件iPhone7,那么他就把倉庫的iPhone7 100件全部下單,但是不付款,就會導致京東有明明有很多iPhone7,但是商詳上無法購買,會顯示“到貨通知”,因為庫存全部被惡意占用了。
還有一種類似的攻擊方法,現在很多網站支持貨到付款。那么攻擊者就將上面例子中的iPhone7買下來,但是支付方式選擇“貨到付款”,等配送員辛辛苦苦實際送到的時候再拒收。那么他同樣占用了這個商品的庫存,并且占用的時間更長,消耗的資源更多(還消耗了倉庫撿貨、配送資源)。如果再采用批量下單惡意占用某些商品的話,那么電商平臺將遭受比較大的損失。
批量下單的方法有很多種,有的是一單下多個數量,但是主流平臺一般會對一次購買數量有一個上限的控制。然后攻擊者會通過各種渠道拿到很多注冊賬號,每個注冊賬號下多單等等。關于惡意注冊也是常見的一種攻擊方式,淘寶上也有賣各個平臺的注冊賬號,也是一個完整的產業鏈,這里就不詳細說了。
另外一種是大量惡意請求攻擊導致網站不用
這種攻擊手段比較偏技術些,細分下來也有兩種:一種是DDOS攻擊,簡單暴力,導致整個網站請求流量過大而失去響應。另外一種是針對業務的攻擊,專業術語叫“CC”攻擊,比如寫工具批量請求商詳或者加入購物車的接口。因為每一次請求都會耗費服務端的資源,服務端響應的能力又是有限的,如果攻擊的請求量比較大的話會導致正常用戶的請求無法響應最終使得整個電商平臺失去響應。這種攻擊的目的就是導致網站不可用,需要網站具有快速擴容的能力與惡意流量清洗的能力。
上面介紹了幾種常見的攻擊手段,并不是很全面,現實中還會有一系列的問題需要解決,比如:虛假注冊、盜號、套現、劫持、欺詐等等以及相應的預防手段,這里只能說水很深,很深!
相關閱讀:
本文由 @Nicole 原創發布于人人都是產品經理。未經許可,禁止轉載。
太淺顯了。。。
感謝,很受用。