双十一的涵义已经从悲凉的光棍节变成了一场购物狂欢节。“剁手族”们对这场狂欢节又爱又恨,“爱”的是双十一能够买到物美价廉的商品,“恨”的是网页访问慢、网络慢导致订单无法支付,钓鱼网站和电信诈骗横行……
如今,双十一刚刚过去,双十二又即将来袭,各家电商网站的性能和安全防护也将迎来新一轮大考。同时,消费者也要小心谨慎,才能看紧自己的“钱包”!
电信诈骗、网络钓鱼让用户“乐极生悲”
双十一让很多用户满载而归。在杭州读书的陈同学的购物经历就有些“乐极生悲”了。11月12日,她接到自称是淘宝卖家打来的电话,对方以订单异常需要重新激活为由,发来网址链接。小陈点开网页,输入银行卡号。卖家称“你的手机会收到验证码,是用来激活订单的验证码”。陈同学照章操作之后,发现自己银行卡被盗2000多元。
像小陈这样,接到陌生来电谎称订单异常、退款退货、抽奖中奖等被骗的用户不胜枚举。让陈同学无法理解的是,“我买了什么东西,花了多少钱,订单号是多少,收件地址是什么,他一字不差地都报出来了”。小陈称,这也是为什么她对电话那头的身份深信不疑的主要原因。
对此,安全宝安全负责人刘璇表示:“黑客通过网页篡改或者挂马等方式,可以大量获取订单信息。11月11日,安全宝为其电子商务客户拦截的网络攻击量比平时增加约24%,其中利用SQL注入对数据库进行远程读取和篡改的攻击约占70%。这类攻击的目的都是为了获取网站数据,例如客户资料、账号密码、销售订单等。黑客将获取到的信息公开或兜售给第三方或者电子商务网站的竞争对手,甚至以此威胁电商网站获利。”
到底是“李逵”还是“李鬼”,消费者如何分清呢?刘璇给消费者提出了以下几点建议:熟记常用网站域名,打开电子商务网页时,确认打开的网页域名;不在银行官网以外的其他网址输入银行卡号和密码;对于手机接收到的验证码等短信,要仔细阅读内容,并且不要泄露给任何第三方。
新兴电商网站成黑客目标
如今,双十一购物狂欢早已不再是淘宝、京东的专利,各种类型的电商网站都纷纷参与其中。双十一当天,全国P2P网贷的日成交额高达22.8亿元,同比增长500%;易车网11日订单总量超过53万,超过去年订购数的5倍……不过,相比淘宝、京东、苏宁易购等大型电子商务网站,这些电商企业在网站性能和安全防护方面都或多或少存在漏洞。
从性能上看,安全宝监测数据显示,11月11日4:00、11:00、20:00和22:00等几个时间点,多个电商网站的首屏访问时间明显延长,访问速度减慢。而在这些时间点上,网站的可用性下降,网站首页的访问时间大幅延长,会严重影响用户体验。
从安全的角度看,双十一当天各类电商遭受的攻击不计其数。易车电商平台11日零点就遭遇攻击事件,此后的15分钟用户访问受到影响。安全宝的某互联网金融客户当天累计遭受攻击11752次,来自中国、美国等39个国家和地区的攻击者对系统进行了全面攻击尝试。刘璇告诉记者,除了利用传统的SQL注入攻击以外,这些攻击者还利用了时下最热门的漏洞,如bash漏洞、心脏出血攻击、Struts框架攻击等。
如果缺乏实时有效的防护,网站很容易被攻陷。而安全宝通过Hour Glass引擎对网站访问流量进行实时分析、统计并在第一时间拦截攻击数据,同时利用大数据分析系统深入挖掘访问行为、疑似攻击行为,通过安全行为分析系统分发到安全专家手中,进行深入分析和验证。一旦确定为攻击行为,该系统会在第一时间生成新的防护规则并迅速上线,为网站提供及时防御。这对于防御当前流行的0day漏洞攻击十分有效。
双十二来袭,你准备好了吗?
双十一刚刚过去,双十二即将来临,与淘宝、京东不同的是,中小型电子商务网站在安全防护和网站性能建设方面该如何进行完善,以应对双十二新一轮的购物潮?对此,安全宝专家给出详细的建议:
在安全方面,刘璇认为,电商网站在日常维护中应该将安全防护作为运维的重点:
一是严格控制上传文件的权限,防止黑客上传恶意程序;
二是增强网站开发者的安全意识,避免在网站中引入过多漏洞,网站应对用户输入的所有数据格式和内容的有效性进行检查;
三是通过防火墙等访问控制设备对外网屏蔽不必需的服务,减少被黑客入侵的可能性;四是严格管理生产服务器的登录口令,避免泄露。
在性能方面,垂直电商、中小型电商应该从以下三个方面做好准备:
一是应用CDN加速服务,增强网站本身的服务性能。动态资源利用链路访问优化加速,静态资源利用云网络的分布式缓存内容优化加速,不但在全国范围内负载均衡了访问流量,而且提高了网站并发服务能力,进而提升网站的用户承载量,改善网站的访问体验。
二是量化CDN服务效果。加速技术、云网络基础设施、服务商等各种网站服务策略的调整,都会对CDN网络的服务效果产生影响,因此定期量化网站加速效果有助于保持网站的最佳服务状态。
三是采用多CDN服务方式。同时使用多个厂商的CDN服务,不但有助于体验不同CDN的加速效果,综合运用各CDN的优势还可以在出现故障时快速切换服务,保障网站整体的可用性。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/130801.html<
