有人利用这个业务特点会写工具进行批量下单但是不付款,导致电商平台上某段时间热门商品无法售卖,像上面的例子,如果黑客知道京东有100件iPhone7,那么他就把仓库的iPhone7 100件全部下单,但是不付款,就会导致京东有明明有很多iPhone7,但是商详上无法购买,会显示“到货通知”,因为库存全部被恶意占用了。 还有一种类似的攻击方法,现在很多网站支持货到付款。那么攻击者就将上面例子中的iPhone7买下来,但是支付方式选择“货到付款”,等配送员辛辛苦苦实际送到的时候再拒收。那么他同样占用了这个商品的库存,并且占用的时间更长,消耗的资源更多(还消耗了仓库捡货、配送资源)。如果再采用批量下单恶意占用某些商品的话,那么电商平台将遭受比较大的损失。 批量下单的方法有很多种,有的是一单下多个数量,但是主流平台一般会对一次购买数量有一个上限的控制。然后攻击者会通过各种渠道拿到很多注册账号,每个注册账号下多单等等。关于恶意注册也是常见的一种攻击方式,淘宝上也有卖各个平台的注册账号,也是一个完整的产业链,这里就不详细说了。 请问 另外一种是大量恶意请求攻击导致网站不用 这种攻击手段比较偏技术些,细分下来也有两种:一种是DDOS攻击,简单暴力,导致整个网站请求流量过大而失去响应。另外一种是针对业务的攻击,专业术语叫“CC”攻击,比如写工具批量请求商详或者加入购物车的接口。因为每一次请求都会耗费服务端的资源,服务端响应的能力又是有限的,如果攻击的请求量比较大的话会导致正常用户的请求无法响应最终使得整个电商平台失去响应。这种攻击的目的就是导致网站不可用,需要网站具有快速扩容的能力与恶意流量清洗的能力。 上面介绍了几种常见的攻击手段,并不是很全面,现实中还会有一系列的问题需要解决,比如:虚假注册、盗号、套现、劫持、欺诈等等以及相应的预防手段,这里只能说水很深,很深! (责任编辑:admin) |