从拼多多媷羊毛事件谈网站的安全性问题的重要性
本意“薅羊毛”是沿袭春晚小品中白云大妈的“薅羊毛织毛衣”的做法。现在的意义已完全改变:对各类商家开展的一些优惠活动在网络上广为流传,这种行为被称作薅羊毛。“羊毛党”已经成为很多商家眼里打不死的小强,用机器注册、批量注册手机号等方式套取利益。
拼多多被薅200亿确实过于夸张,但是1千万损失还是有的,而且冻结了部分订单,也会对用户产生部分不好影响。可见其影响还是非常严重的。
究其原因,还是安全做的不到位,出现优惠券的漏洞,其实这些漏洞在普通B2C商城网站都很少出现,没想到在一个上市公司里出现,而且还是核心的主营业务里,实在令广大程序员惊讶。
那么作为一个商城,如何避免发生类似事情呢?
1、从业务逻辑上控制,比如优惠券设置发放数量限制、优惠券消费总额限制,在优惠券来源上进行甄别。
2、系统设置专门的风控中心,实时监控下单情况、支付情况、优惠券使用情况等数据。
3、程序代码上严加审核,避免出现漏洞。
4、成立一个专门负责风控的团队,负责整体掌控,协调负责。
5、设置多套机制防止。
6、从程序上避免机器注册。
7、设置安全预警,当优惠券使用数量超过多少时、订单支付金额超过多少时,通知主要负责人员进行审查,出现问题及时制止和纠正。
8、不要让网站核心数据只掌握在一个人手中,近来网络上还流传一个公司耗资500万开发一款软件,关键发布时刻,核心人员锁死服务器导致项目失败,然整个公司倒闭。