从互联网开始发展的那一天,安全问题一直伴随在其左右,世界各地每时每刻不停地上演着各种web攻击和信息泄露。
一、道高一尺魔高一丈的网站攻击与防御
1、攻击
a、XSS攻击
b、CSRF攻击
c、SQL注入
2、防御
a、Web防火墙
b、网站安全漏洞扫描
二、信息加密技术
1、hash散列加密
通过对不同长度的信息进行计算,得出对应长度的输出。为了防止“彩虹表”,所以一般情况,都会撒盐。

特点:输入信息任何微小的变化都会导致解密结果不同。加密结果不可逆,所以不怕“拖库”。
常见:MD5、SHA
2、对称加密
所谓对称加密是指,加密和解密使用同一个秘钥。

特点:算法简单,加密/解密效率高,适合大量数据的加密。缺点是使用同一个秘钥,远程通信秘钥的传输是一个大麻烦,可参考:Https的实现原理。
常见:DES、RC
3、非对称加密
加密者准备一对秘钥(一个叫做公钥、一个叫做私钥),公钥是通过私钥计算出来的,单反过来不行,感兴趣的可以百度具体的数学算法。加密者把自己的公钥公开出去,私钥自己保留。公钥加密的信息只能用私钥才能解开,反之,私钥加密的信息也只能用公钥才能解开。

特点:麻烦(看起来都麻烦,又是私钥又是公钥的,远程通信还得考虑如何传送公钥),在实际应用中可能会更加复杂化(比如单项对称加密、双向对称加密)可参考:Https的实现原理
常见:RSA
三、信息过滤与反垃圾
1、文本匹配
2、分类算法
3、黑名单
四、电商的风险与风控
1、风险
账户风险:被盗、恶意注册。
买家风险:同行恶意下单占用库存、黄牛利用促销抢购商品、欺诈退款、良品拒收等
卖家风险:虚假发货、虚假描述、炒作信用、违禁违法商品等等
支付风险:盗刷、违禁链接、洗钱等
2、风控
a、规则引擎方式:
当满足某些指标的时候,认定为“风险交易”。比如用户来自于“诈骗高发地区”,交易金额超限,登录地址差距太大,登录地址与收货地址大区域不符合等等。
网站前期可以采用if...else...来处理。但是随着业务不断发展,代码量,风险种类量越来越多的时候,处理起来就很麻烦了。所以我们通常把“风险验证”整个模块拿出来,单独开发一个系统,叫做“规则引擎”。我们可以在规则引擎后台进行风控规则管理。对外提供“验证风险”的接口 让 应用业务调用,返回风控验证结果。

这种方式优点缺点都很明显:比如理解性好,方便管理,技术好实现。但也有缺点,规则越来越多,验证方式就会越来越麻烦。
b、统计模型方式:
待...
结语
世界上没有绝对的安全,就像没有绝对的只有一样。网站的相对安全是提高攻击者门槛,让他们进行攻击的时候,付出更多的带价,比如时间成本等等,让他们感觉得不偿失,望而却步。