从互联网开始发展的那一天，安全问题一直伴随在其左右，世界各地每时每刻不停地上演着各种web攻击和信息泄露。

一、道高一尺魔高一丈的网站攻击与防御

1、攻击

a、XSS攻击

b、CSRF攻击

c、SQL注入

2、防御

a、Web防火墙

b、网站安全漏洞扫描

二、信息加密技术

1、hash散列加密

通过对不同长度的信息进行计算，得出对应长度的输出。为了防止“彩虹表”，所以一般情况，都会撒盐。

特点：输入信息任何微小的变化都会导致解密结果不同。加密结果不可逆，所以不怕“拖库”。

常见：MD5、SHA

2、对称加密

所谓对称加密是指，加密和解密使用同一个秘钥。

特点：算法简单，加密/解密效率高，适合大量数据的加密。缺点是使用同一个秘钥，远程通信秘钥的传输是一个大麻烦，可参考：Https的实现原理。

常见：DES、RC

3、非对称加密

加密者准备一对秘钥（一个叫做公钥、一个叫做私钥），公钥是通过私钥计算出来的，单反过来不行，感兴趣的可以百度具体的数学算法。加密者把自己的公钥公开出去，私钥自己保留。公钥加密的信息只能用私钥才能解开，反之，私钥加密的信息也只能用公钥才能解开。

特点：麻烦（看起来都麻烦，又是私钥又是公钥的，远程通信还得考虑如何传送公钥），在实际应用中可能会更加复杂化（比如单项对称加密、双向对称加密）可参考：Https的实现原理

常见：RSA

三、信息过滤与反垃圾

1、文本匹配

2、分类算法

3、黑名单

四、电商的风险与风控

1、风险

账户风险：被盗、恶意注册。

买家风险：同行恶意下单占用库存、黄牛利用促销抢购商品、欺诈退款、良品拒收等

卖家风险：虚假发货、虚假描述、炒作信用、违禁违法商品等等

支付风险：盗刷、违禁链接、洗钱等

2、风控

a、规则引擎方式：

当满足某些指标的时候，认定为“风险交易”。比如用户来自于“诈骗高发地区”，交易金额超限，登录地址差距太大，登录地址与收货地址大区域不符合等等。

网站前期可以采用if...else...来处理。但是随着业务不断发展，代码量，风险种类量越来越多的时候，处理起来就很麻烦了。所以我们通常把“风险验证”整个模块拿出来，单独开发一个系统，叫做“规则引擎”。我们可以在规则引擎后台进行风控规则管理。对外提供“验证风险”的接口 让 应用业务调用，返回风控验证结果。

这种方式优点缺点都很明显：比如理解性好，方便管理，技术好实现。但也有缺点，规则越来越多，验证方式就会越来越麻烦。

b、统计模型方式：

待...

结语

世界上没有绝对的安全，就像没有绝对的只有一样。网站的相对安全是提高攻击者门槛，让他们进行攻击的时候，付出更多的带价，比如时间成本等等，让他们感觉得不偿失，望而却步。