一個電商網站會存在哪些安全隱患?
1 、資料的洩露
資料的重要性不言而喻,尤其是電商的資料,包含了個人資訊(姓名、性別、收貨地址、電話)以及購物資訊,還是比較敏感的,現在國內比較大的電商平臺都在搞大資料,可以算出每個多使用者的喜好是什麼,根據每個人的不同喜好做定製的推送。甚至像阿里、京東在搞的金融業務,背後也是依賴這些常年積累下來的多使用者資料,基於這些資料可以對多使用者進行信用評級。
如果這些資料遭到洩露公司將受到巨大的損失,多使用者也會受到相應的損害,現在大家經常收到的各類騷擾電話,就是廣告商透過各種渠道拿到多使用者資訊,這資訊基本都來自非正常渠道。
之前網上有駭客爆料過多家知名網站的多使用者資料信被竊取,如果爆料情況屬實,那麼可以看出我們目前所處的網際網路環境並沒有那麼的安全,只是在不知不覺中我們的資料已經被洩露。
2 、黃牛刷單
電商平臺常用的促銷手段一般為滿減、滿贈,當有稀缺商品或者價格力度比較大的話會上秒殺。由於活動促銷確實非常給力,這時候會招來黃牛,黃牛可以說大家都比較熟悉了,在火車站旁、在醫院旁、在演唱會門口、在電影院、在體育館。。。可以說只要有稀缺資源的地方都有黃牛的身影。
在電商網站上只要搞大型促銷活動,也會出現黃牛的身影。但是商家搞促銷活動是希望能夠吸引新多使用者,啟用老多使用者,本質是一種花錢買潛在多使用者的過程,所以商家才願意賠本搞促銷。如
果商家投入了很大的成本搞了一場促銷,結果他的商品都被黃牛買走了,真正它希望的目標多使用者沒有買到,那麼這是商家不願意看到的情況;這個時候就需要電商平臺有辦法、有機制能夠識別出黃牛,這就是一個跟黃牛鬥智鬥勇的過程。
網際網路時代的黃牛也會使用網際網路的工具,不僅僅像線下一樣單純靠人肉、體力去排隊。網際網路時代的黃牛會採用更智慧化的工具,自動進行熱門商品的搶購。
每年過年回家的時候相信大家都使用過自動搶票工具,黃牛使用的工具類似,只是物件變成了個各大平臺的促銷商品,這裡的工具需要針對每個電商平臺的特定協議進行定製開發。所以現在的黃牛已經不僅僅是一個人,已經是一個生態閉環的產業鏈:
有人專門提供工具
有人專門負責收集各大平臺促銷資訊
有人負責定時的搶購商品
有人負責將搶到的商品透過各種渠道賣出去。
已經是一個比較的團隊,團隊內部分工明確,度也較高,這就為電商平臺帶來了比較大的挑戰。是一個魔高一尺道高一丈的不斷升級對抗的過程。
3 、惡意攻擊
上面提到的黃牛刷單儘管對業務有一定的影響,但不管怎樣人家也是付了錢買東西的。還有一類更惡意的攻擊就是他不僅不買東西,還讓正常的多使用者無東西可以買。
這種惡意行為又具體分為兩類:
其一是鑽空子
因為現在電商平臺下單有一個業務的邏輯是:如果您下了單,但是沒付款,那麼這個商品的庫存會被您先佔用掉,等 30 分鐘您仍然不付款,那麼系統會將這個訂單自動取消,然後釋放庫存。但是在這 30 分鐘內您購買的商品庫存是被您佔用的,別人無法購買。
另外一種是大量惡意請求攻擊導致網站不用
這種攻擊手段比較偏技術些,細分下來也有兩種:一種是 DDOS 攻擊,簡單暴力,導致整個網站請求流量過大而失去響應。另外一種是針對業務的攻擊,術語叫 “CC” 攻擊,比如寫工具批次請求商詳或者加入購物車的介面。因為每一次請求都會耗費服務端的資源,服務端響應的能力又是有限的,如果攻擊的請求量比較大的話會導致正常多使用者的請求無法響應終使得整個電商平臺失去響應。這種攻擊的目的就是導致網站不可用,需要網站具有快速擴容的能力與惡意流量清洗的能力。
上面 SEO 站群介紹了幾種常見的攻擊手段,並不是很全面,現實中還會有一系列的問題需要解決,比如:虛假註冊、盜號、套現、劫持、欺詐等等以及相應的預防手段,這裡只能說電商網站日常安全防範不能絲毫鬆懈!