电商系列之风控安全

   > 插:AI时代,程序员或多或少要了解些人工智能,前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。

坚持不懈,越努力越幸运,大家一起学习鸭~~~

风控,简单来说就是风险的控制,随着整个互联网技术的发展,有另外一种技术也在默默的发展、壮大,甚至形成一种上下游闭环的产业链,即“黑产”。黑产遍布整个互联网各行各业、各个角落,今天来跟大家说说关于电商黑色产业哪些事儿。

在电商的研发体系中有一个叫做“风控”的部门,整个部门负责保障整个网站的安全、可靠。是一个比较神秘的组织,每天需要与形形色色的黑客、黄牛斗智斗勇。

那么一个电商网站会存在哪些安全隐患呢?

1.数据的泄露

数据的重要性不言而喻,尤其是电商的数据,包含了个人信息(姓名、性别、收货地址、电话)以及购物信息,还是比较敏感的,现在国内比较大的电商平台都在搞大数据,可以算出每个用户的喜好是什么,根据每个人的不同喜好做定制的推送。甚至像阿里、京东在搞的金融业务,背后也是依赖这些常年积累下来的用户数据,基于这些数据可以对用户进行信用评级。

如果这些数据遭到泄露公司将受到巨大的损失,用户也会受到相应的损害,现在大家经常收到的各类骚扰电话,就是广告商通过各种渠道拿到用户信息,这信息基本都来自非正常渠道。

之前网上有黑客爆料过多家知名网站的用户数据信被窃取,如果爆料情况属实,那么可以看出我们目前所处的互联网环境并没有那么的安全,只是在不知不觉中我们的数据已经被泄露。好消息是目前关于安全的问题各大公司已经开始非常重视,尤其是用户的隐私信息,所以这里建议大家不要在一些不是很出名的网站上留下个人的敏感信息,因为目前中小网站的自我保护能力还没那么的强。

}YI[BF%}4{4EV4BF7EKUXGT

2.黄牛刷单

电商平台常用的促销手段一般为满减、满赠,当有稀缺商品或者价格力度比较大的话会上秒杀。由于活动促销确实非常给力,这时候会招来黄牛,黄牛可以说大家都比较熟悉了,在火车站旁、在医院旁、在演唱会门口、在电影院、在体育馆。。。可以说只要有稀缺资源的地方都有黄牛的身影。

在电商网站上只要搞大型促销活动,也会出现黄牛的身影。但是商家搞促销活动是希望能够吸引新用户,激活老用户,本质是一种花钱买潜在用户的过程,所以商家才愿意赔本搞促销。如

果商家投入了很大的成本搞了一场促销,结果他的商品都被黄牛买走了,真正它希望的目标用户没有买到,那么这是商家不愿意看到的情况;这个时候就需要电商平台有办法、有机制能够识别出黄牛,这就是一个跟黄牛斗智斗勇的过程。

互联网时代的黄牛也会使用互联网的工具,不仅仅像线下一样单纯靠人肉、体力去排队。互联网时代的黄牛会采用更智能化的工具,自动进行热门商品的抢购。

每年过年回家的时候相信大家都使用过自动抢票工具,黄牛使用的工具类似,只是对象变成了个各大平台的促销商品,这里的工具需要针对每个电商平台的特定协议进行定制开发。所以现在的黄牛已经不仅仅是一个人,已经是一个生态闭环的产业链:

  • 有人专门提供工具
  • 有人专门负责收集各大平台促销信息
  • 有人负责定时的抢购商品
  • 有人负责将抢到的商品通过各种渠道卖出去。

已经是一个比较专业的团队,团队内部分工明确,专业度也较高,这就为电商平台带来了比较大的挑战。是一个魔高一尺道高一丈的不断升级对抗的过程。

3.恶意攻击

上面提到的黄牛刷单尽管对业务有一定的影响,但不管怎样人家也是付了钱买东西的。还有一类更恶意的攻击就是他不仅不买东西,还让正常的用户无东西可以买。

这种恶意行为又具体分为两类:

其一是钻空子

因为现在电商平台下单有一个业务的逻辑是:如果你下了单,但是没付款,那么这个商品的库存会被你先占用掉,等30分钟你仍然不付款,那么系统会将这个订单自动取消,然后释放库存。但是在这30分钟内你购买的商品库存是被你占用的,别人无法购买。

clipboard

有点抽象,举个例子。

如果你在京东上买了一个iPhone7,这部iPhone7 京东的仓库里面一共有100件,你下单后京东会帮你锁定一件库存,表示你有购买意愿,给你预留着,等你付款后仓库会帮你发货。如果你30分钟没付款系统会把你的订单取消,但是在你下了单没付款的这30分钟里面,京东实际对外只能卖99件iPhone7,尽管他仓库里面有100件,因为有一件是给你预留的。

主流的电商基本都是这么玩的,只是大家等待的时间不一样,有的是半个小时、有的是1个小时、有的是2个小时。

有人利用这个业务特点会写工具进行批量下单但是不付款,导致电商平台上某段时间热门商品无法售卖,像上面的例子,如果黑客知道京东有100件iPhone7,那么他就把仓库的iPhone7 100件全部下单,但是不付款,就会导致京东有明明有很多iPhone7,但是商详上无法购买,会显示“到货通知”,因为库存全部被恶意占用了。

还有一种类似的攻击方法,现在很多网站支持货到付款。那么攻击者就将上面例子中的iPhone7买下来,但是支付方式选择“货到付款”,等配送员辛辛苦苦实际送到的时候再拒收。那么他同样占用了这个商品的库存,并且占用的时间更长,消耗的资源更多(还消耗了仓库捡货、配送资源)。如果再采用批量下单恶意占用某些商品的话,那么电商平台将遭受比较大的损失。

批量下单的方法有很多种,有的是一单下多个数量,但是主流平台一般会对一次购买数量有一个上限的控制。然后攻击者会通过各种渠道拿到很多注册账号,每个注册账号下多单等等。关于恶意注册也是常见的一种攻击方式,淘宝上也有卖各个平台的注册账号,也是一个完整的产业链,这里就不详细说了。

请问

另外一种是大量恶意请求攻击导致网站不用

这种攻击手段比较偏技术些,细分下来也有两种:一种是DDOS攻击,简单暴力,导致整个网站请求流量过大而失去响应。另外一种是针对业务的攻击,专业术语叫“CC”攻击,比如写工具批量请求商详或者加入购物车的接口。因为每一次请求都会耗费服务端的资源,服务端响应的能力又是有限的,如果攻击的请求量比较大的话会导致正常用户的请求无法响应最终使得整个电商平台失去响应。这种攻击的目的就是导致网站不可用,需要网站具有快速扩容的能力与恶意流量清洗的能力。

上面介绍了几种常见的攻击手段,并不是很全面,现实中还会有一系列的问题需要解决,比如:虚假注册、盗号、套现、劫持、欺诈等等以及相应的预防手段,这里只能说水很深,很深!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/302635.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

11.python的字典dict(下) 遍历字典,结构优化

11.python的字典dict(下) 遍历所有的键值对 items()方法是字典的一个内置方法,用于返回字典中所有键值对的视图(view)。它返回一个可迭代的对象,每个元素都是一个包含键和对应值的元组。 下面用一个例子来说明items()方法的用法…

Flutter 解决NestedScrollView与TabBar双列表滚动位置同步问题

文章目录 前言一、需要实现的效果如下二、flutter实现代码如下:总结 前言 最近写flutter项目,遇到NestedScrollView与TabBar双列表滚动位置同步问题,下面是解决方案,希望帮助到大家。 一、需要实现的效果如下 1、UI图&#xff1…

安全左移是什么,如何为网络安全建设及运营带来更多可能性

长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。 然而事实上,安全风险不仅是“跑”…

Jackson 各种注解使用示例

参考资料 Jackson使い方メモ 目录 一. JsonIgnore二. JsonIgnoreProperties三. JsonProperty3.1 作用于entity属性上,指定json对象属性名3.2 作用于entity方法上,指定json对象属性名 四. JsonFormat4.1 日期格式化4.2 数字格式化4.3 枚举类返回code 五.…

记录一次hss不能防护主机的问题

场景:hss的控制台显示不在防护中,其他云主机并没有这个情况。 故障发生的时间是昨天下午15点半左右,运维同事做了重启网卡的操作。service network restart 排查分析: 于是仔细的查看日志,发现报错如下&#xff1a…

MySQL-用户与权限管理:用户管理、权限管理、角色管理

用户与权限管理 用户与权限管理1.用户管理1.1 登录MySQL服务器1.2 创建用户1.3 修改用户1.4 删除用户1.5 设置当前用户密码1.6 修改其它用户密码 2. 权限管理2.1 权限列表2.2 授予权限的原则2.3 授予权限2.4 查看权限2.5 收回权限 访问控制连接核实阶段请求核实阶段 3. 角色管理…

iOS App Store审核要求与Flutter应用的兼容性分析

本文探讨了使用Flutter开发的iOS应用能否上架,以及上架的具体流程。苹果提供了App Store作为正式上架渠道,同时也有TestFlight供开发者进行内测。合规并通过审核后,Flutter应用可以顺利上架。但上架过程可能存在一些挑战,因此可能…

扫描IP开放端口该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开

扫描IP开放端口该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开 #/bin/bash #该脚本用于对特定目标主机进行常见端口扫描(加载端口字典)或者指定端口扫描,判断目标主机开放来哪些端口 #用telnet方式 IP$1 #IP119.254.3.28 #获得IP的前…

基于遗传优化的SVD水印嵌入提取算法matlab仿真

目录 1.程序功能描述 2.测试软件版本以及运行结果展示 3.核心程序 4.本算法原理 5.完整程序 1.程序功能描述 基于遗传优化的的SVD水印嵌入提取算法。对比遗传优化前后SVD水印提取性能,并分析不同干扰情况下水印提取效果。 2.测试软件版本以及运行结果展示 MA…

Set及其实现类与常用方法

1.Set及其常用实现类 Set接口是java.util.Collection接口的子接口.用来存储一个一个的数据.后面学习到的Map接口则用来存储key-value键值对. Set : 存储无序的,不可重复的数据|----->HashSet : 主要实现类 : 底层使用的是HashMap,即使用数组单向链表红黑树来存储。|-----&…

[C语言]——柔性数组

目录 一.柔性数组的特点 二.柔性数组的使用 三.柔性数组的优势 C99中,结构体中的最后⼀个元素允许是未知大小的数组,这就叫做『柔性数组』成员。 typedef struct st_type //typedef可以不写 { int i;int a[0];//柔性数组成员 }type_a; 有些编译器会…

机器学习模型——K—Means算法

目录 无监督学习概念: 有监督学习与无监督学习: 无监督学习 - 聚类分析 : 聚类算法应用场景: 常用聚类算法介绍: 对不同的聚类算法应用选择原则: 基于原型聚类: K-Means聚类算法概念及步…

访问网站时你的电脑都做了什么

电脑在访问百度时 首先在本地hosts文件里面查看本地有无域名对应的IP地址,若有就直接返回。若无,则本地DNS服务器当DNS的客户,向其它根域服务器发送报文查询IP地址,简单来说就是帮助主机查找IP,所以递归查询就在客户端…

秋招复习笔记——八股文部分:操作系统

笔试得刷算法题,那面试就离不开八股文,所以特地对着小林coding的图解八股文系列记一下笔记。 这一篇笔记是图解系统的内容。 硬件结构 CPU执行程序 计算机基本结构为 5 个部分,分别是运算器、控制器、存储器、输入设备、输出设备&#xf…

Go 实战|使用 Wails 构建轻量级的桌面应用:仿微信登录界面 Demo

概述 本文探讨 Wails 框架的使用,从搭建环境到开发,再到最终的构建打包,本项目源码 GitHub 地址:https://github.com/mazeyqian/go-run-wechat-demo 前言 Wails 是一个跨平台桌面应用开发框架,他允许开发者利用 Go …

5.网络编程-socker(golang版)

目录 一、什么是socket? 二、Golang中使用TCP TCP服务端 TCP客户端​​​​​​​ 三、TCP黏包,拆包 1.什么是粘包,拆包? 2.为什么UDP没有粘包,拆包? 3.粘包拆包发生场景 4.TCP黏包 黏包服务端 …

抖音变现项目有哪些?来这几个资源网站看看吧

做短视频就像是在做一道菜,你得有那么几个秘密武器,才能让你的作品从众多视频中脱颖而出。我这个视频剪辑界的“烹饪大师”,今天就来给大家分享一下我的厨房秘籍——那些让我视频大放异彩的素材网站。九才素材网: 说起九才素材网…

javaScript中原型链

一、原型链 js 的对象分为普通对象和函数对象。每个对象都有__proto__ 但是只有函数对象 (非箭头函数) 才有 prototype 属性。 new的过程: 1、创建一个空的简单 javaScript对象 2、将空对象的 __proto__连接到该函数的 prototype 3、将函数的this指向新创建的对象…

物联网网关

TopLink 是图扑物联专为针对工业物联网边缘侧应用场景打造的一款部署在本地近场环境、以高性能计算机为载体、与云端协同的一体化计算服务产品。具备工业协议解析、数据采集和转发、本地监控、本地场景联动等核心功能,具有跨平台、易使用等特点。 TopLink还默认适配…

小白水平理解面试经典题目1431. Kids With the Greatest Number of Candies【Array类】

个人专栏 🤺 leetcode 🧗 Leetcode Prime 🏇 Golang20天教程 🚴‍♂️ Java问题收集园地 🌴 成长感悟 欢迎大家观看,不执着于追求顶峰,只享受探索过程 1431. 拥有最多糖果的孩子 小白渣翻译 一…