電商網站會存在哪些安全隐患
在電商的研發(fā)體系中有一個叫(jiào)做“風控”的部門,整個部門負責保障整個網站的安全、可靠。是一個比較神秘的組織,每天需要與形形色色的黑客、黃牛鬥智鬥勇。
那麼(me)一個電商網站會存在哪些安全隐患呢?
1.數據的洩露
數據的重要性不言而喻,尤其是電商的數據,包含了個人信息(姓名、性别、收貨地址、電話)以及購物信息,還(hái)是比較敏感的,現在國(guó)内比較大的電商平台都(dōu)在搞大數據,可以算出每個用戶的喜好(hǎo)是什麼(me),根據每個人的不同喜好(hǎo)做定制的推送。甚至像阿裡(lǐ)、京東在搞的金融業務,背後(hòu)也是依賴這(zhè)些常年積累下來的用戶數據,基于這(zhè)些數據可以對(duì)用戶進(jìn)行信用評級。
如果這(zhè)些數據遭到洩露公司將(jiāng)受到巨大的損失,用戶也會受到相應的損害,現在大家經(jīng)常收到的各類騷擾電話,就是廣告商通過(guò)各種(zhǒng)渠道(dào)拿到用戶信息,這(zhè)信息基本都(dōu)來自非正常渠道(dào)。
之前網上有黑客爆料過(guò)多家知名網站的用戶數據信被(bèi)竊取,如果爆料情況屬實,那麼(me)可以看出我們目前所處的互聯網環境并沒(méi)有那麼(me)的安全,隻是在不知不覺中我們的數據已經(jīng)被(bèi)洩露。好(hǎo)消息是目前關于安全的問題各大公司已經(jīng)開(kāi)始非常重視,尤其是用戶的隐私信息,所以這(zhè)裡(lǐ)建議大家不要在一些不是很出名的網站上留下個人的敏感信息,因爲目前中小網站的自我保護能(néng)力還(hái)沒(méi)那麼(me)的強。
2.黃牛刷單
電商平台常用的促銷手段一般爲滿減、滿贈,當有稀缺商品或者價格力度比較大的話會上秒殺。由于活動促銷确實非常給力,這(zhè)時候會招來黃牛,黃牛可以說大家都(dōu)比較熟悉了,在火車站旁、在醫院旁、在演唱會門口、在電影院、在體育館。。。可以說隻要有稀缺資源的地方都(dōu)有黃牛的身影。
在電商網站上隻要搞大型促銷活動,也會出現黃牛的身影。但是商家搞促銷活動是希望能(néng)夠吸引新用戶,激活老用戶,本質是一種(zhǒng)花錢買潛在用戶的過(guò)程,所以商家才願意賠本搞促銷。如
果商家投入了很大的成(chéng)本搞了一場促銷,結果他的商品都(dōu)被(bèi)黃牛買走了,真正它希望的目标用戶沒(méi)有買到,那麼(me)這(zhè)是商家不願意看到的情況;這(zhè)個時候就需要電商平台有辦法、有機制能(néng)夠識别出黃牛,這(zhè)就是一個跟黃牛鬥智鬥勇的過(guò)程。
互聯網時代的黃牛也會使用互聯網的工具,不僅僅像線下一樣(yàng)單純靠人肉、體力去排隊。互聯網時代的黃牛會采用更智能(néng)化的工具,自動進(jìn)行熱門商品的搶購。
每年過(guò)年回家的時候相信大家都(dōu)使用過(guò)自動搶票工具,黃牛使用的工具類似,隻是對(duì)象變成(chéng)了個各大平台的促銷商品,這(zhè)裡(lǐ)的工具需要針對(duì)每個電商平台的特定協議進(jìn)行定制開(kāi)發(fā)。所以現在的黃牛已經(jīng)不僅僅是一個人,已經(jīng)是一個生态閉環的産業鏈:
- 有人專門提供工具
- 有人專門負責收集各大平台促銷信息
- 有人負責定時的搶購商品
- 有人負責將(jiāng)搶到的商品通過(guò)各種(zhǒng)渠道(dào)賣出去。
已經(jīng)是一個比較專業的團隊,團隊内部分工明确,專業度也較高,這(zhè)就爲電商平台帶來了比較大的挑戰。是一個魔高一尺道(dào)高一丈的不斷升級對(duì)抗的過(guò)程。
3.惡意攻擊
上面(miàn)提到的黃牛刷單盡管對(duì)業務有一定的影響,但不管怎樣(yàng)人家也是付了錢買東西的。還(hái)有一類更惡意的攻擊就是他不僅不買東西,還(hái)讓正常的用戶無東西可以買。
這(zhè)種(zhǒng)惡意行爲又具體分爲兩(liǎng)類:
其一是鑽空子
因爲現在電商平台下單有一個業務的邏輯是:如果你下了單,但是沒(méi)付款,那麼(me)這(zhè)個商品的庫存會被(bèi)你先占用掉,等30分鍾你仍然不付款,那麼(me)系統會將(jiāng)這(zhè)個訂單自動取消,然後(hòu)釋放庫存。但是在這(zhè)30分鍾内你購買的商品庫存是被(bèi)你占用的,别人無法購買。
有點抽象,舉個例子。
如果你在京東上買了一個iPhone7,這(zhè)部iPhone7 京東的倉庫裡(lǐ)面(miàn)一共有100件,你下單後(hòu)京東會幫你鎖定一件庫存,表示你有購買意願,給你預留著(zhe),等你付款後(hòu)倉庫會幫你發(fā)貨。如果你30分鍾沒(méi)付款系統會把你的訂單取消,但是在你下了單沒(méi)付款的這(zhè)30分鍾裡(lǐ)面(miàn),京東實際對(duì)外隻能(néng)賣99件iPhone7,盡管他倉庫裡(lǐ)面(miàn)有100件,因爲有一件是給你預留的。
主流的電商基本都(dōu)是這(zhè)麼(me)玩的,隻是大家等待的時間不一樣(yàng),有的是半個小時、有的是1個小時、有的是2個小時。
有人利用這(zhè)個業務特點會寫工具進(jìn)行批量下單但是不付款,導緻電商平台上某段時間熱門商品無法售賣,像上面(miàn)的例子,如果黑客知道(dào)京東有100件iPhone7,那麼(me)他就把倉庫的iPhone7 100件全部下單,但是不付款,就會導緻京東有明明有很多iPhone7,但是商詳上無法購買,會顯示“到貨通知”,因爲庫存全部被(bèi)惡意占用了。
還(hái)有一種(zhǒng)類似的攻擊方法,現在很多網站支持貨到付款。那麼(me)攻擊者就將(jiāng)上面(miàn)例子中的iPhone7買下來,但是支付方式選擇“貨到付款”,等配送員辛辛苦苦實際送到的時候再拒收。那麼(me)他同樣(yàng)占用了這(zhè)個商品的庫存,并且占用的時間更長(cháng),消耗的資源更多(還(hái)消耗了倉庫撿貨、配送資源)。如果再采用批量下單惡意占用某些商品的話,那麼(me)電商平台將(jiāng)遭受比較大的損失。
批量下單的方法有很多種(zhǒng),有的是一單下多個數量,但是主流平台一般會對(duì)一次購買數量有一個上限的控制。然後(hòu)攻擊者會通過(guò)各種(zhǒng)渠道(dào)拿到很多注冊賬号,每個注冊賬号下多單等等。關于惡意注冊也是常見的一種(zhǒng)攻擊方式,淘寶上也有賣各個平台的注冊賬号,也是一個完整的産業鏈,這(zhè)裡(lǐ)就不詳細說了。
另外一種(zhǒng)是大量惡意請求攻擊導緻網站不可用
這(zhè)種(zhǒng)攻擊手段比較偏技術些,細分下來也有兩(liǎng)種(zhǒng):一種(zhǒng)是DDOS攻擊,簡單暴力,導緻整個網站請求流量過(guò)大而失去響應。另外一種(zhǒng)是針對(duì)業務的攻擊,專業術語叫(jiào)“CC”攻擊,比如寫工具批量請求商詳或者加入購物車的接口。因爲每一次請求都(dōu)會耗費服務端的資源,服務端響應的能(néng)力又是有限的,如果攻擊的請求量比較大的話會導緻正常用戶的請求無法響應最終使得整個電商平台失去響應。這(zhè)種(zhǒng)攻擊的目的就是導緻網站不可用,需要網站具有快速擴容的能(néng)力與惡意流量清洗的能(néng)力。
上面(miàn)介紹了幾種(zhǒng)常見的攻擊手段,并不是很全面(miàn),現實中還(hái)會有一系列的問題需要解決,比如:虛假注冊、盜号、套現、劫持、欺詐等等以及相應的預防手段,這(zhè)裡(lǐ)隻能(néng)說水很深,很深!