技術(shù)解密：電商網(wǎng)站會(huì)存在哪些安全隱患

    技術(shù)解密：電商網(wǎng)站會(huì)存在哪些安全隱患？風(fēng)控，簡(jiǎn)單來(lái)說(shuō)就是風(fēng)險(xiǎn)的控制，隨著整個(gè)互聯(lián)網(wǎng)技術(shù)的發(fā)展，有另外一種技術(shù)也在默默的發(fā)展、壯大，甚至形成一種上下游閉環(huán)的產(chǎn)業(yè)鏈，即“黑產(chǎn)”。黑產(chǎn)遍布整個(gè)互聯(lián)網(wǎng)各行各業(yè)、各個(gè)角落，今天來(lái)跟大家說(shuō)說(shuō)關(guān)于電商黑色產(chǎn)業(yè)哪些事兒。在電商的研發(fā)體系中有一個(gè)叫做“風(fēng)控”的部門(mén)，整個(gè)部門(mén)負(fù)責(zé)保障整個(gè)網(wǎng)站的安全、可靠。是一個(gè)比較神秘的組織，每天需要與形形色色的黑客、黃牛斗智斗勇。

    那么，一個(gè)電商網(wǎng)站會(huì)存在哪些安全隱患呢？

    1.數(shù)據(jù)的泄露

    數(shù)據(jù)的重要性不言而喻，尤其是電商的數(shù)據(jù)，包含了個(gè)人信息（姓名、性別、收貨地址、電話）以及購(gòu)物信息，還是比較敏感的，現(xiàn)在國(guó)內(nèi)比較大的電商平臺(tái)都在搞大數(shù)據(jù)，可以算出每個(gè)用戶的喜好是什么，根據(jù)每個(gè)人的不同喜好做定制的推送。甚至像阿里、京東在搞的金融業(yè)務(wù)，背后也是依賴這些常年積累下來(lái)的用戶數(shù)據(jù)，基于這些數(shù)據(jù)可以對(duì)用戶進(jìn)行信用評(píng)級(jí)。

    如果這些數(shù)據(jù)遭到泄露公司將受到巨大的損失，用戶也會(huì)受到相應(yīng)的損害，現(xiàn)在大家經(jīng)常收到的各類騷擾電話，就是廣告商通過(guò)各種渠道拿到用戶信息，這信息基本都來(lái)自非正常渠道。

    之前網(wǎng)上有黑客爆料過(guò)多家知名網(wǎng)站的用戶數(shù)據(jù)信被竊取，如果爆料情況屬實(shí)，那么可以看出我們目前所處的互聯(lián)網(wǎng)環(huán)境并沒(méi)有那么的安全，只是在不知不覺(jué)中我們的數(shù)據(jù)已經(jīng)被泄露。好消息是目前關(guān)于安全的問(wèn)題各大公司已經(jīng)開(kāi)始非常重視，尤其是用戶的隱私信息，所以這里建議大家不要在一些不是很出名的網(wǎng)站上留下個(gè)人的敏感信息，因?yàn)槟壳爸行【W(wǎng)站的自我保護(hù)能力還沒(méi)那么的強(qiáng)。

    2.黃牛刷單

    電商平臺(tái)常用的促銷(xiāo)手段一般為滿減、滿贈(zèng)，當(dāng)有稀缺商品或者價(jià)格力度比較大的話會(huì)上秒殺。由于活動(dòng)促銷(xiāo)確實(shí)非常給力，這時(shí)候會(huì)招來(lái)黃牛，黃?？梢哉f(shuō)大家都比較熟悉了，在火車(chē)站旁、在醫(yī)院旁、在演唱會(huì)門(mén)口、在電影院、在體育館。。?？梢哉f(shuō)只要有稀缺資源的地方都有黃牛的身影。

    在電商網(wǎng)站上只要搞大型促銷(xiāo)活動(dòng)，也會(huì)出現(xiàn)黃牛的身影。但是商家搞促銷(xiāo)活動(dòng)是希望能夠吸引新用戶，激活老用戶，本質(zhì)是一種花錢(qián)買(mǎi)潛在用戶的過(guò)程，所以商家才愿意賠本搞促銷(xiāo)。如

    果商家投入了很大的成本搞了一場(chǎng)促銷(xiāo)，結(jié)果他的商品都被黃牛買(mǎi)走了，真正它希望的目標(biāo)用戶沒(méi)有買(mǎi)到，那么這是商家不愿意看到的情況；這個(gè)時(shí)候就需要電商平臺(tái)有辦法、有機(jī)制能夠識(shí)別出黃牛，這就是一個(gè)跟黃牛斗智斗勇的過(guò)程。

    互聯(lián)網(wǎng)時(shí)代的黃牛也會(huì)使用互聯(lián)網(wǎng)的工具，不僅僅像線下一樣單純靠人肉、體力去排隊(duì)?；ヂ?lián)網(wǎng)時(shí)代的黃牛會(huì)采用更智能化的工具，自動(dòng)進(jìn)行熱門(mén)商品的搶購(gòu)。

    每年過(guò)年回家的時(shí)候相信大家都使用過(guò)自動(dòng)搶票工具，黃牛使用的工具類似，只是對(duì)象變成了個(gè)各大平臺(tái)的促銷(xiāo)商品，這里的工具需要針對(duì)每個(gè)電商平臺(tái)的特定協(xié)議進(jìn)行定制開(kāi)發(fā)。所以現(xiàn)在的黃牛已經(jīng)不僅僅是一個(gè)人，已經(jīng)是一個(gè)生態(tài)閉環(huán)的產(chǎn)業(yè)鏈：

    有人專門(mén)提供工具

    有人專門(mén)負(fù)責(zé)收集各大平臺(tái)促銷(xiāo)信息

    有人負(fù)責(zé)定時(shí)的搶購(gòu)商品

    有人負(fù)責(zé)將搶到的商品通過(guò)各種渠道賣(mài)出去。

    已經(jīng)是一個(gè)比較專業(yè)的團(tuán)隊(duì)，團(tuán)隊(duì)內(nèi)部分工明確，專業(yè)度也較高，這就為電商平臺(tái)帶來(lái)了比較大的挑戰(zhàn)。是一個(gè)魔高一尺道高一丈的不斷升級(jí)對(duì)抗的過(guò)程。

    3.惡意攻擊

    上面提到的黃牛刷單盡管對(duì)業(yè)務(wù)有一定的影響，但不管怎樣人家也是付了錢(qián)買(mǎi)東西的。還有一類更惡意的攻擊就是他不僅不買(mǎi)東西，還讓正常的用戶無(wú)東西可以買(mǎi)。

    這種惡意行為又具體分為兩類：

    其一是鉆空子

    因?yàn)楝F(xiàn)在電商平臺(tái)下單有一個(gè)業(yè)務(wù)的邏輯是：如果你下了單，但是沒(méi)付款，那么這個(gè)商品的庫(kù)存會(huì)被你先占用掉，等30分鐘你仍然不付款，那么系統(tǒng)會(huì)將這個(gè)訂單自動(dòng)取消，然后釋放庫(kù)存。但是在這30分鐘內(nèi)你購(gòu)買(mǎi)的商品庫(kù)存是被你占用的，別人無(wú)法購(gòu)買(mǎi)。

    有點(diǎn)抽象，舉個(gè)例子。

    如果你在京東上買(mǎi)了一個(gè)iPhone7，這部iPhone7 京東的倉(cāng)庫(kù)里面一共有100件，你下單后京東會(huì)幫你鎖定一件庫(kù)存，表示你有購(gòu)買(mǎi)意愿，給你預(yù)留著，等你付款后倉(cāng)庫(kù)會(huì)幫你發(fā)貨。如果你30分鐘沒(méi)付款系統(tǒng)會(huì)把你的訂單取消，但是在你下了單沒(méi)付款的這30分鐘里面，京東實(shí)際對(duì)外只能賣(mài)99件iPhone7，盡管他倉(cāng)庫(kù)里面有100件，因?yàn)橛幸患墙o你預(yù)留的。

    主流的電商基本都是這么玩的，只是大家等待的時(shí)間不一樣，有的是半個(gè)小時(shí)、有的是1個(gè)小時(shí)、有的是2個(gè)小時(shí)。

    有人利用這個(gè)業(yè)務(wù)特點(diǎn)會(huì)寫(xiě)工具進(jìn)行批量下單但是不付款，導(dǎo)致電商平臺(tái)上某段時(shí)間熱門(mén)商品無(wú)法售賣(mài)，像上面的例子，如果黑客知道京東有100件iPhone7，那么他就把倉(cāng)庫(kù)的iPhone7 100件全部下單，但是不付款，就會(huì)導(dǎo)致京東有明明有很多iPhone7，但是商詳上無(wú)法購(gòu)買(mǎi)，會(huì)顯示“到貨通知”，因?yàn)閹?kù)存全部被惡意占用了。

    還有一種類似的攻擊方法，現(xiàn)在很多網(wǎng)站支持貨到付款。那么攻擊者就將上面例子中的iPhone7買(mǎi)下來(lái)，但是支付方式選擇“貨到付款”，等配送員辛辛苦苦實(shí)際送到的時(shí)候再拒收。那么他同樣占用了這個(gè)商品的庫(kù)存，并且占用的時(shí)間更長(zhǎng)，消耗的資源更多（還消耗了倉(cāng)庫(kù)撿貨、配送資源）。如果再采用批量下單惡意占用某些商品的話，那么電商平臺(tái)將遭受比較大的損失。

    批量下單的方法有很多種，有的是一單下多個(gè)數(shù)量，但是主流平臺(tái)一般會(huì)對(duì)一次購(gòu)買(mǎi)數(shù)量有一個(gè)上限的控制。然后攻擊者會(huì)通過(guò)各種渠道拿到很多注冊(cè)賬號(hào)，每個(gè)注冊(cè)賬號(hào)下多單等等。關(guān)于惡意注冊(cè)也是常見(jiàn)的一種攻擊方式，淘寶上也有賣(mài)各個(gè)平臺(tái)的注冊(cè)賬號(hào)，也是一個(gè)完整的產(chǎn)業(yè)鏈，這里就不詳細(xì)說(shuō)了。

    另外一種是大量惡意請(qǐng)求攻擊導(dǎo)致網(wǎng)站不用

    這種攻擊手段比較偏技術(shù)些，細(xì)分下來(lái)也有兩種：一種是DDOS攻擊，簡(jiǎn)單暴力，導(dǎo)致整個(gè)網(wǎng)站請(qǐng)求流量過(guò)大而失去響應(yīng)。另外一種是針對(duì)業(yè)務(wù)的攻擊，專業(yè)術(shù)語(yǔ)叫“CC”攻擊，比如寫(xiě)工具批量請(qǐng)求商詳或者加入購(gòu)物車(chē)的接口。因?yàn)槊恳淮握?qǐng)求都會(huì)耗費(fèi)服務(wù)端的資源，服務(wù)端響應(yīng)的能力又是有限的，如果攻擊的請(qǐng)求量比較大的話會(huì)導(dǎo)致正常用戶的請(qǐng)求無(wú)法響應(yīng)最終使得整個(gè)電商平臺(tái)失去響應(yīng)。這種攻擊的目的就是導(dǎo)致網(wǎng)站不可用，需要網(wǎng)站具有快速擴(kuò)容的能力與惡意流量清洗的能力。

    上面介紹了幾種常見(jiàn)的攻擊手段，并不是很全面，現(xiàn)實(shí)中還會(huì)有一系列的問(wèn)題需要解決，比如：虛假注冊(cè)、盜號(hào)、套現(xiàn)、劫持、欺詐等等以及相應(yīng)的預(yù)防手段，這里只能說(shuō)水很深，很深！