电商业务安全解决方案课件

1、电商业务安全解决方案技术创新，变革未来第1页，共42页。议题背景介绍典型案例解决之道Q&A第2页，共42页。电商业务安全备受挑战凡是能换成金钱的，都会有人去攻击或尝试今天是免费的资源，明天可能就是重要的资产第3页，共42页。需要重点保护的对象用户账号/密码用户钱包/银行卡用户隐私数据代金券、优惠券、礼品卡、积分、虚拟币物流、库存订单、商业数据第4页，共42页。严峻的威胁和挑战我们面对的是：黑/灰产业链白帽子黑客竞争对手第三方分析公司合作伙伴供应商外包商内部人员第5页，共42页。典型电商业务流程登录/浏览/选品第6页，共42页。典型电商业务流程下单/支付/物流第7页，共42页。更多电商平台背后的

2、系统物流 系统仓储电商 平台客服支付 系统营销供应 商开放平台第8页，共42页。议题背景介绍典型案例解决之道Q&A第9页，共42页。账户安全所有安全问题的入口第10页，共42页。账户安全盗号、撞库等身份盗用问题“撞库”攻击的形式尝试登录大量【用户名+密码】组合利用已泄露的多家网站用户数据库“盗号”产生的风险用户隐私受影响账户资金受影响企业投诉和赔付率上升第11页，共42页。账户安全盗号、撞库等身份盗用问题“撞库”攻击的形式尝试登录大量【用户名+密码】组合利用已泄露的多家网站用户数据库“盗号”产生的风险用户隐私受影响账户资金受影响企业投诉和赔付率上升第12页，共42页。账户安全问题往往没那么简单

3、用户界面PC登录界面WAPAPP防护策略图形验证码短信验证码访问速率控制对抗手段验证码识别云平台短信验证码云平台秒换代理服务器IP微信IP限制策略联合登录8000人工后台！第13页，共42页。账户安全对抗的力量企业的力量缺人缺钱缺技术缺设备缺时间全线防护“黑产”的力量有钱有人有技术有资源有时间单点击破第14页，共42页。资源滥用小问题放大了就是灾难第15页，共42页。资源滥用恶意注册产生“马甲”用户抢占正常用户资源影响企业营销效果产生虚假数据隐藏的“炸弹”第16页，共42页。资源滥用注册检查小接口大风险利用简单的注册判断接口，检查全国手机号是否在网站注册放大这个请求，结果是灾难为盲目“撞库”提

4、前筛选用户名第17页，共42页。资源滥用注册检查小接口大风险利用简单的注册判断接口，检查全国手机号是否在网站注册放大这个请求，结果是灾难为盲目“撞库”提前筛选用户名第18页，共42页。资源滥用恶意调用短信发送接口封装多个网站短信发送接口为一个API向指定手机发送短信炸弹，强制对方关机企业遭受客户投诉导致短信通道被迫关停受害者 手机京东天猫唯品会苏宁携程去哪儿美团坏人调用接口发短信第19页，共42页。资源滥用恶意调用短信发送接口封装多个网站短信发送接口为一个API向指定手机发送短信炸弹，强制对方关机企业遭受客户投诉导致短信通道被迫关停受害者 手机苏宁携程去哪儿美团坏人调唯品会用接口发短信天猫京东

5、第20页，共42页。资源滥用Hold库存影响正常销售自动加购物车，自动下单购物车过期后，重复上一步骤正常用户不能购买企业商品无法售出第21页，共42页。资源滥用刷单/恶意下单供应商刷单赚取信用竞争对手互相下单报复性下单第22页，共42页。信息泄露没有企业不关注用户隐私第23页，共42页。信息泄露信息泄露导致用户被诈骗“撞库”成功，查看用户订单信息商品、地址、联系人、电话、物流状态冒充客服，实施诈骗卡单、退货、退款提供假网址，诱导消费者输入敏感信息姓名、身份证、银行卡号、CVV、支付密码、手机验证码盗卡消费在线使用信用卡、绑定快捷支付第24页，共42页。信息泄露信息泄露导致用户被诈骗第25页，共

6、42页。信息泄露信息泄露导致用户被诈骗第26页，共42页。信息泄露信息泄露导致用户被诈骗第27页，共42页。信息泄露综合措施保护敏感信息第28页，共42页。信息泄露信息泄露的渠道账户被盗系统安全漏洞物流配送环节内部员工第29页，共42页。资金安全有利可图就有企图第30页，共42页。资金安全账户资产盗用余额提现套现诈骗第31页，共42页。营销活动 ”被刷”并不是我的初衷第32页，共42页。营销活动优惠带动销售也带来黄牛第33页，共42页。营销活动优惠带动销售也带来黄牛短信验证码平台助力黄牛集中领取大量高价券第34页，共42页。业务安全漏洞 技术漏洞永远绕不开第35页，共42页。业务安全漏洞设计/编码/测试/监控业务流程逻辑漏洞身份认证与鉴权绕过会话机制和权限提升前后端检查策略一致数据防篡改防抵赖敏感数据存储第36页，共42页。议题背景介绍典型案例解决之道Q&A第37页，共42页。构建业务安全风控系统第38页，共42页。构建业