当前位置: 首页 > news >正文

电商系列之风控安全

   > 插:AI时代,程序员或多或少要了解些人工智能,前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。

坚持不懈,越努力越幸运,大家一起学习鸭~~~

风控,简单来说就是风险的控制,随着整个互联网技术的发展,有另外一种技术也在默默的发展、壮大,甚至形成一种上下游闭环的产业链,即“黑产”。黑产遍布整个互联网各行各业、各个角落,今天来跟大家说说关于电商黑色产业哪些事儿。

在电商的研发体系中有一个叫做“风控”的部门,整个部门负责保障整个网站的安全、可靠。是一个比较神秘的组织,每天需要与形形色色的黑客、黄牛斗智斗勇。

那么一个电商网站会存在哪些安全隐患呢?

1.数据的泄露

数据的重要性不言而喻,尤其是电商的数据,包含了个人信息(姓名、性别、收货地址、电话)以及购物信息,还是比较敏感的,现在国内比较大的电商平台都在搞大数据,可以算出每个用户的喜好是什么,根据每个人的不同喜好做定制的推送。甚至像阿里、京东在搞的金融业务,背后也是依赖这些常年积累下来的用户数据,基于这些数据可以对用户进行信用评级。

如果这些数据遭到泄露公司将受到巨大的损失,用户也会受到相应的损害,现在大家经常收到的各类骚扰电话,就是广告商通过各种渠道拿到用户信息,这信息基本都来自非正常渠道。

之前网上有黑客爆料过多家知名网站的用户数据信被窃取,如果爆料情况属实,那么可以看出我们目前所处的互联网环境并没有那么的安全,只是在不知不觉中我们的数据已经被泄露。好消息是目前关于安全的问题各大公司已经开始非常重视,尤其是用户的隐私信息,所以这里建议大家不要在一些不是很出名的网站上留下个人的敏感信息,因为目前中小网站的自我保护能力还没那么的强。

}YI[BF%}4{4EV4BF7EKUXGT

2.黄牛刷单

电商平台常用的促销手段一般为满减、满赠,当有稀缺商品或者价格力度比较大的话会上秒杀。由于活动促销确实非常给力,这时候会招来黄牛,黄牛可以说大家都比较熟悉了,在火车站旁、在医院旁、在演唱会门口、在电影院、在体育馆。。。可以说只要有稀缺资源的地方都有黄牛的身影。

在电商网站上只要搞大型促销活动,也会出现黄牛的身影。但是商家搞促销活动是希望能够吸引新用户,激活老用户,本质是一种花钱买潜在用户的过程,所以商家才愿意赔本搞促销。如

果商家投入了很大的成本搞了一场促销,结果他的商品都被黄牛买走了,真正它希望的目标用户没有买到,那么这是商家不愿意看到的情况;这个时候就需要电商平台有办法、有机制能够识别出黄牛,这就是一个跟黄牛斗智斗勇的过程。

互联网时代的黄牛也会使用互联网的工具,不仅仅像线下一样单纯靠人肉、体力去排队。互联网时代的黄牛会采用更智能化的工具,自动进行热门商品的抢购。

每年过年回家的时候相信大家都使用过自动抢票工具,黄牛使用的工具类似,只是对象变成了个各大平台的促销商品,这里的工具需要针对每个电商平台的特定协议进行定制开发。所以现在的黄牛已经不仅仅是一个人,已经是一个生态闭环的产业链:

  • 有人专门提供工具
  • 有人专门负责收集各大平台促销信息
  • 有人负责定时的抢购商品
  • 有人负责将抢到的商品通过各种渠道卖出去。

已经是一个比较专业的团队,团队内部分工明确,专业度也较高,这就为电商平台带来了比较大的挑战。是一个魔高一尺道高一丈的不断升级对抗的过程。

3.恶意攻击

上面提到的黄牛刷单尽管对业务有一定的影响,但不管怎样人家也是付了钱买东西的。还有一类更恶意的攻击就是他不仅不买东西,还让正常的用户无东西可以买。

这种恶意行为又具体分为两类:

其一是钻空子

因为现在电商平台下单有一个业务的逻辑是:如果你下了单,但是没付款,那么这个商品的库存会被你先占用掉,等30分钟你仍然不付款,那么系统会将这个订单自动取消,然后释放库存。但是在这30分钟内你购买的商品库存是被你占用的,别人无法购买。

clipboard

有点抽象,举个例子。

如果你在京东上买了一个iPhone7,这部iPhone7 京东的仓库里面一共有100件,你下单后京东会帮你锁定一件库存,表示你有购买意愿,给你预留着,等你付款后仓库会帮你发货。如果你30分钟没付款系统会把你的订单取消,但是在你下了单没付款的这30分钟里面,京东实际对外只能卖99件iPhone7,尽管他仓库里面有100件,因为有一件是给你预留的。

主流的电商基本都是这么玩的,只是大家等待的时间不一样,有的是半个小时、有的是1个小时、有的是2个小时。

有人利用这个业务特点会写工具进行批量下单但是不付款,导致电商平台上某段时间热门商品无法售卖,像上面的例子,如果黑客知道京东有100件iPhone7,那么他就把仓库的iPhone7 100件全部下单,但是不付款,就会导致京东有明明有很多iPhone7,但是商详上无法购买,会显示“到货通知”,因为库存全部被恶意占用了。

还有一种类似的攻击方法,现在很多网站支持货到付款。那么攻击者就将上面例子中的iPhone7买下来,但是支付方式选择“货到付款”,等配送员辛辛苦苦实际送到的时候再拒收。那么他同样占用了这个商品的库存,并且占用的时间更长,消耗的资源更多(还消耗了仓库捡货、配送资源)。如果再采用批量下单恶意占用某些商品的话,那么电商平台将遭受比较大的损失。

批量下单的方法有很多种,有的是一单下多个数量,但是主流平台一般会对一次购买数量有一个上限的控制。然后攻击者会通过各种渠道拿到很多注册账号,每个注册账号下多单等等。关于恶意注册也是常见的一种攻击方式,淘宝上也有卖各个平台的注册账号,也是一个完整的产业链,这里就不详细说了。

请问

另外一种是大量恶意请求攻击导致网站不用

这种攻击手段比较偏技术些,细分下来也有两种:一种是DDOS攻击,简单暴力,导致整个网站请求流量过大而失去响应。另外一种是针对业务的攻击,专业术语叫“CC”攻击,比如写工具批量请求商详或者加入购物车的接口。因为每一次请求都会耗费服务端的资源,服务端响应的能力又是有限的,如果攻击的请求量比较大的话会导致正常用户的请求无法响应最终使得整个电商平台失去响应。这种攻击的目的就是导致网站不可用,需要网站具有快速扩容的能力与恶意流量清洗的能力。

上面介绍了几种常见的攻击手段,并不是很全面,现实中还会有一系列的问题需要解决,比如:虚假注册、盗号、套现、劫持、欺诈等等以及相应的预防手段,这里只能说水很深,很深!

相关文章:

电商系列之风控安全

> 插:AI时代,程序员或多或少要了解些人工智能,前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。 坚持不懈,越努力越幸运,大家…...

计算机网络针对交换机的配置

实验 目的 交换机的基本配置,交换机VLAN配置 实验条件 Windows,Cisco packet tracer 实验 内容 交换机的基本配置,交换机VLAN配置 实验 过程 一、交换机的基本配置 进入特权模式 Switch>enable 进入配置模式 Switch#configure ter…...

Python爬虫之分布式爬虫

分布式爬虫 1.详情介绍 分布式爬虫是指将一个爬虫任务分解成多个子任务,在多个机器上同时执行,从而加快数据的抓取速度和提高系统的可靠性和容错性的技术。 传统的爬虫是在单台机器上运行,一次只能处理一个URL,而分布式爬虫通过将…...

服务器硬件基础知识解析

导言 在当今信息化时代,服务器扮演着至关重要的角色,它们是存储、处理和传输数据的关键设备。本文将介绍服务器硬件的基础知识,包括服务器的组成部分、硬件选型和性能评估等内容,旨在帮助读者更好地理解和应用服务器技术。 服务…...

【芯片设计- RTL 数字逻辑设计入门 1.1 -- Verdi 使用入门介绍 1】

请阅读【芯片设计 RTL 数字逻辑设计扫盲 】 文章目录 Verdi 介绍Verdi 特点和功能Verdi 基本操作Verdi -elab与-dbdir区别-elab 参数介绍-dbdir 参数介绍区别总结Verdi 介绍 Verdi 是由Synopsys公司开发的一款业界领先的自动化电子设计自动化(EDA)工具,主要用于功能验证和调…...

ssm034学生请假系统+jsp

学生请假系统设计与实现 摘 要 现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本学生请假系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处…...

Leetcode 165. 比较版本号

给你两个版本号 version1 和 version2 ,请你比较它们。 版本号由一个或多个修订号组成,各修订号由一个 ‘.’ 连接。每个修订号由 多位数字 组成,可能包含 前导零 。每个版本号至少包含一个字符。修订号从左到右编号,下标从 0 开…...

LeetCode-279. 完全平方数【广度优先搜索 数学 动态规划】

LeetCode-279. 完全平方数【广度优先搜索 数学 动态规划】 题目描述:解题思路一:Python 动态规划五部曲(完全平方数就是物品(可以无限件使用),凑个正整数n就是背包,问凑满这个背包最少有多少物品…...

rust项目组织结构和集成测试举例

概述 在学习rust的过程中,当项目结构略微复杂的时候,写集成测试的时候发现总是不能引用项目中的代码,导致编写测试用例失败。查阅了教程,一般举例都很简单。查阅了谷歌和百度以及ai,也没有找到满意的答案。这里记录一…...

软件文档交付清单(直接套用合集)

软件文档交付清单是指在软件开发项目完成后,开发团队需要准备的一份详细清单,用于确保交付的软件产品符合客户需求并达到预期的质量标准。以下是软件文档交付清单中可能包含的一些关键要素 软件开发文档:这包括需求文档、设计文档、测试文档等…...

ModuleNotFoundError: No module named ‘ultralytics.utils‘

项目场景he 问题描述 提示:这里简述项目相关背景: model YOLO(modelr./yolov8m-cls.pt) 加载预训练模型时报错。 ModuleNotFoundError: No module named ultralytics.utils warning: bug: 原因分析: 很可能是提前下载的预训练模型出了…...

2024智能计算、大数据应用与信息科学国际会议(ICBDAIS2024)

2024智能计算、大数据应用与信息科学国际会议(ICBDAIS2024) 会议简介 智能计算、大数据应用与信息科学之间存在相互依存、相互促进的关系。智能计算和大数据应用的发展离不开信息科学的支持和推动,而信息科学的发展又需要智能计算和大数据应用的不断拓展和应用。智…...

秋招复习笔记——八股文部分:操作系统

笔试得刷算法题,那面试就离不开八股文,所以特地对着小林coding的图解八股文系列记一下笔记。 这一篇笔记是图解系统的内容。 硬件结构 CPU执行程序 计算机基本结构为 5 个部分,分别是运算器、控制器、存储器、输入设备、输出设备&#xf…...

每日一题:C语言经典例题之杨辉三角

题目描述 输出杨辉三角形。 输入 第一行输入一个整数 n (1<n<10)。 输出 输出杨辉三角形的前n行&#xff0c;每个数字占8格左对齐。 样例输入 4 样例输出 1 1 1 1 2 1 1 3 3 1 代码&#xff1a; #inc…...

1. TypeScript: JavaScript 的超集,为大型应用而生

引言 在现代的前端开发领域&#xff0c;JavaScript 无疑是一门极其流行的语言。然而&#xff0c;随着前端项目的日益复杂&#xff0c;JavaScript 本身的一些特性使得维护和扩展大型代码库变得困难。这就是 TypeScript 应运而生的背景。TypeScript 是一种由微软开发的开源语言&…...

vex-table—— 获取插入或修改数据后的tableData

例子来自vxe-table。在开发过程中发现新增数据后&#xff0c;输出this.tableData&#xff0c;发现数据并没有被修改 想要获取更新的数据方式为 mounted () {const $table this.$refs.xTableconsole.log("&#x1f680; ~ mounted ~ $table:", $table.tableData)},...

通俗易懂地解释Go语言不同版本中垃圾回收机制的演进过程

完整课程请点击以下链接 Go 语言项目开发实战_Go_实战_项目开发_孔令飞_Commit 规范_最佳实践_企业应用代码-极客时间 Go 1.3时代 - 标记清除算法 这就像一个人要打扫房间,首先需要暂停其他活动。然后开始查看房间里的每件物品,对于自己仍需要使用的物品做上记号。查看完毕后…...

shamrockcms代码审计-啥也没有

shamrockcms 环境搭建 使用阿里源&#xff0c;创建数据库&#xff0c;运行shamrockcms.sql文件&#xff0c;将configure.properties中的jdbc修改为自己本地或者其他ip数据库连接&#xff0c;并且将ueditor.config.json中的master修改为localhost或者其他自己设置的ip 危险组件…...

【C++】排序算法 --快速排序与归并排序

目录 颜色分类&#xff08;数组分三块思想&#xff09;快速排序归并排序 颜色分类&#xff08;数组分三块思想&#xff09; 给定⼀个包含红⾊、⽩⾊和蓝⾊、共 n 个元素的数组 nums &#xff0c;原地对它们进⾏排序&#xff0c;使得相同颜⾊ 的元素相邻&#xff0c;并按照红⾊、…...

(Python)根据经纬度从数字高程模型(DEM)文件获取高度

基本介绍 在地理信息系统&#xff08;GIS&#xff09;和遥感中&#xff0c;数字高程模型&#xff08;Digital Elevation Model&#xff0c;简称DEM&#xff09;是一种表示 地表或地形高程信息的重要数据。DEM数据通常以栅格&#xff08;raster&#xff09;形式存在&#xff0…...

铭豹扩展坞 USB转网口 突然无法识别解决方法

当 USB 转网口扩展坞在一台笔记本上无法识别,但在其他电脑上正常工作时,问题通常出在笔记本自身或其与扩展坞的兼容性上。以下是系统化的定位思路和排查步骤,帮助你快速找到故障原因: 背景: 一个M-pard(铭豹)扩展坞的网卡突然无法识别了,扩展出来的三个USB接口正常。…...

React Native 导航系统实战(React Navigation)

导航系统实战&#xff08;React Navigation&#xff09; React Navigation 是 React Native 应用中最常用的导航库之一&#xff0c;它提供了多种导航模式&#xff0c;如堆栈导航&#xff08;Stack Navigator&#xff09;、标签导航&#xff08;Tab Navigator&#xff09;和抽屉…...

深入浅出:JavaScript 中的 `window.crypto.getRandomValues()` 方法

深入浅出&#xff1a;JavaScript 中的 window.crypto.getRandomValues() 方法 在现代 Web 开发中&#xff0c;随机数的生成看似简单&#xff0c;却隐藏着许多玄机。无论是生成密码、加密密钥&#xff0c;还是创建安全令牌&#xff0c;随机数的质量直接关系到系统的安全性。Jav…...

MySQL 8.0 OCP 英文题库解析(十三)

Oracle 为庆祝 MySQL 30 周年&#xff0c;截止到 2025.07.31 之前。所有人均可以免费考取原价245美元的MySQL OCP 认证。 从今天开始&#xff0c;将英文题库免费公布出来&#xff0c;并进行解析&#xff0c;帮助大家在一个月之内轻松通过OCP认证。 本期公布试题111~120 试题1…...

力扣-35.搜索插入位置

题目描述 给定一个排序数组和一个目标值&#xff0c;在数组中找到目标值&#xff0c;并返回其索引。如果目标值不存在于数组中&#xff0c;返回它将会被按顺序插入的位置。 请必须使用时间复杂度为 O(log n) 的算法。 class Solution {public int searchInsert(int[] nums, …...

C++:多态机制详解

目录 一. 多态的概念 1.静态多态&#xff08;编译时多态&#xff09; 二.动态多态的定义及实现 1.多态的构成条件 2.虚函数 3.虚函数的重写/覆盖 4.虚函数重写的一些其他问题 1&#xff09;.协变 2&#xff09;.析构函数的重写 5.override 和 final关键字 1&#…...

20个超级好用的 CSS 动画库

分享 20 个最佳 CSS 动画库。 它们中的大多数将生成纯 CSS 代码&#xff0c;而不需要任何外部库。 1.Animate.css 一个开箱即用型的跨浏览器动画库&#xff0c;可供你在项目中使用。 2.Magic Animations CSS3 一组简单的动画&#xff0c;可以包含在你的网页或应用项目中。 3.An…...

uniapp 字符包含的相关方法

在uniapp中&#xff0c;如果你想检查一个字符串是否包含另一个子字符串&#xff0c;你可以使用JavaScript中的includes()方法或者indexOf()方法。这两种方法都可以达到目的&#xff0c;但它们在处理方式和返回值上有所不同。 使用includes()方法 includes()方法用于判断一个字…...

【无标题】湖北理元理律师事务所:债务优化中的生活保障与法律平衡之道

文/法律实务观察组 在债务重组领域&#xff0c;专业机构的核心价值不仅在于减轻债务数字&#xff0c;更在于帮助债务人在履行义务的同时维持基本生活尊严。湖北理元理律师事务所的服务实践表明&#xff0c;合法债务优化需同步实现三重平衡&#xff1a; 法律刚性&#xff08;债…...

【Linux】Linux安装并配置RabbitMQ

目录 1. 安装 Erlang 2. 安装 RabbitMQ 2.1.添加 RabbitMQ 仓库 2.2.安装 RabbitMQ 3.配置 3.1.启动和管理服务 4. 访问管理界面 5.安装问题 6.修改密码 7.修改端口 7.1.找到文件 7.2.修改文件 1. 安装 Erlang 由于 RabbitMQ 是用 Erlang 编写的&#xff0c;需要先安…...