本文目录一览:
黑客为什么不攻击淘宝?
黑客为什么不攻击淘宝?那么按照“先问是不是,再问为什么”的逻辑,我们要问,是不是真的就没有黑客攻击淘宝呢?答案当然是否定的。只要题主你去阿里src或者蚂蚁金服src看一下,就会知道其实每天都有大佬积分在涨,这意味着阿里旗下资产(主要也就是淘宝网)每天都被找到了漏洞,或高或低(当然更多的是低危的漏洞);然后题主你再去看看这两个src今年甚至去年前年各月份的积分榜,就会看到其实有很多拿了几百上千分的大佬,这说明他们挖下了多少阿里的洞;然后题主你再去乌云镜像搜下淘宝,就会看到有多条淘宝被日的记录以及如何被日的姿势。 所以啊,这明摆着放出来的攻击都这么多了,没看到的攻击会有多少?再想想这背后有多少大佬们在不停地想着如何日淘宝网站,估计淘宝子域名,c段跟端口都快扫爆了吧。所以题主你还会觉得没有黑客攻击淘宝吗… 那么,我们接着要问,为什么题主会提问“黑客为什么不攻击淘宝?”这个问题呢?我觉得是这么个主要原因:信息不对称。 因为题主大概率并非从事安全行业,除了新闻报导的一些比较严重的安全事故新闻之外,平时肯定很少关注安全界的消息。那么,对于淘宝这么一个高端安全人员聚集的企业来说,要出现严重的安全事故是很难的,所以肯定不会上新闻的。久而久之,大家听到其他企业或多或少爆出安全事故,一对比分析,就觉得,哦,这个淘宝好牛逼哦,没出过事,慢慢地就会有种要么黑客没弄过它,要么淘宝安全技术十分牛逼的错觉。但确实淘宝安全是十分牛逼的,不过再牛逼的系统,也不是没有漏洞利用可言,所谓没有绝对安全的系统,所以还是有很多大佬搞出过事情来的,只不过一部分提交给src了,大家看不到,只有厂商知道;另一部分,由于漏洞本身具有的价值,黑客们肯定偷偷地留着洞为自己盈利啦,哪里会那么傻还告诉大家自己弄了个啥啥啥。 另外,现在的黑客已经不像当年,挖洞是为了炫技,搞点小动作要让世人皆知。现在的黑客,挖个洞挣点钱,也只能偷偷摸摸的啦。
黑客为什么不攻击网贷平台?
真实的情况是黑客不但攻击网贷平台,而且会优先选择网贷平台进行攻击。这主要还是因为网贷平台技术力量薄弱,一般都会委托系统开发商进行数据托管、系统维护,漏洞较多,安全防护形同虚设,很容易被黑客盯上,并实施攻击。
网贷平台是黑客攻击的重灾区,导致大量用户个人信息被盗
据国家互联网金融安全技术专家委员会数据显示,截至2017年2月28日,系统共发现互联网金融网站漏洞1023个,系统监测到针对互联网金融网站的网络攻击达105万次,其中木马攻击最多,占比过半,其次是DDOS攻击和僵尸网络。网贷平台被黑客攻击,很容易导致用户身份证、银行卡等重要信息泄露,个人信息核资金安全会受到严重威胁。
网贷平台技术投入较小,很多防护能力基本为零
很多网贷平台的技术投入非常小,很多都是选择安全性较低的同用网站程序,风控水平较低,很多网贷平台的防护能力基本为零,这也是遭受黑客攻击的主要原因。
很多网贷平台的运营者何尝不是黑客
由于P2P等网贷平台门槛较低,很多平台为降低成本,安全防护基本是形同虚设,这也是黑客频繁攻击网贷平台的主要原因。另外由于网贷平台存在任意挤压、占用用户资金的问题,其实网贷平台的运营者恰恰就是最大的黑客。由于网贷平台风险极高,投资者投资时尽量规避这种平台,尽量选择支付宝、微信、各大基金公司和银行等理财平台,以免受到各种黑客的攻击。
支付宝里存的都是钱,为什么黑客不攻支付宝呢?
其实也不是没有人黑过,任何在线系统都在无时无刻经受着各种试探和突入。所以说没有人黑是不对的,只是成功入侵的仅仅为极少数的人罢了。而且即便入侵成功之后不代表就可以取得全部权限。
支付宝的整个系统可以分为用户管理,设备鉴权(公钥下发的算法教验),密钥管理(多组私钥分区公钥生成以及有效性),内部账务系统,消费系统,外部银行结算系统,数字资产系统。支付宝可以做哪些安全?
范围控制
只对特殊技的物理连路上开通绝对数据。即便他们自己的技术人员也只能在机房中才能做到对核心数据的直接访问。完善的不与外界联网物理门禁和几个安保人员就可以最大可能限制是有权限的人才能接触。
用户端身份教验,设备教验
用户名,密码,各种绑定和教验这里就不多说了。其实设备可以绑定核心设备的硬件信息,也可以办法ca证书,甚至通信都是通过私钥和公钥的方式,再教验算法去决定的。
多层数据隔离
业务数据读写隔离,并多层写隔离。用户产生的数据(转入,转出,体系内交易)由引导服务器(类似负载均衡)就近分配到服务redis中,切生成之后:不可修改。通过算法教验的数据,进一步向核心redis或者队列汇总,软化再次进入读写分离的永久性业务系统。
业务算法
在一定程度上,业务流是可以做向前教研的,也就是说之前的数据通过数学方式教验之后,才是为当前的操作有效,通过这种方式无中生有去生成一些数据就变得更加困难。
其实最大的风险就在于支付宝向银行提现的操作。因为这操作已经突破了支付宝体系都最后束缚。中国的银行系统和支付宝协议都是有限额的,一次如此大的法律风险的入侵可能还要收到银行的限额。加之中国的银行卡管理体系还是非常严格的,很难大规模地开通中间洗钱的中间账户。
也许有人说可以给个人客户种木马,体系内交易购买虚拟产品,然后再通过其他渠道变现。这种也是局部客户的经济损失而非支付宝的全局性的风险。
因为任何用户系统都需要权衡用户感受和安全性。其实还是是可以做的更安全,但是操作就更多步骤,更复杂了(动态密保,密钥接收器,二维矩阵密保卡)。明智的产品经理不可能为了最高的安全性去牺牲用户体验。
网络安全永无止境,不是就是简单的漏洞发现和入侵。最小的系统开放,先后教验,终端鉴权,交易权限,事后追溯,蜜罐。黑客入侵和网络安全就像矛和盾,永远没有最强的矛,永远也没有最强的盾。
