腾讯云安全：移动 APP 安全行业报告

移动电商行业中，商家通过“平台活动”吸引用户、促进销量。而“羊毛党”则是通过“强占”商家的这种优质资源并转手真正的用户来谋利。损害了商家与用户的双向权益。

(薅羊毛关系链)

3.订单支付

支付系统是电商APP必不可少的一个模块，涉及到用户的账户密码、资金安全。用户在APP上支付时，数据如果不做有效保护，随时会被不法分子利用。

电商行业移动APP所遇安全问题

案例说话

国内著名移动运营商遭黑卡薅羊毛，流量平台一月被抢8. 2 万G

2016 年 12 月 10 日至 2017 年 1 月 6 日期间，某运营商的“有奖答题”营销活动被羊毛党疯狂利用，导致活动开始时网页崩溃，活动福利一抢而空。

参考链接：

http://tech.qq.com/a/20161214/003524.htm

上述案例全过程分析

1.薄弱环节：无法鉴别真实用户

爆发这场“薅羊毛”大战的技术原因在于运营商(客户端APP、APP后台)无法有效识别出哪些是真实用户、哪些是羊毛党，也就是缺少图中所示的强大、高效的用户身份鉴别模块。

(身份鉴别模块作用示意图)

2.突破关键：手机号验证已经不是门槛

为提高注册用户身份的真实性、过滤出高价值用户以及防止恶意注册、扫号，案例中的运营商使用了短信验证码。为此，如何突破短信验证码就成为薅羊毛的关键一步。如下图手机打码关系链图。

(手机打码关系链)

3.“薅羊毛”的产业链：分工有序

整个“薅羊毛”有着完备、成熟的产业体系。羊毛党们经过精心的准备，接下来的攻击和套现就变得简单化、便捷化。羊毛党们利用打码平台和卡商提供的海量手机号以及提供的打码服务在运营商的流量平台上批量注册账号，并用注册到的账号采用自动化的软件参与运行商的“有奖答题”活动。整个薅羊毛关系链暴露出这样的核心问题：单纯依据手机号码来鉴别用户已不足以满足电商APP被“薅羊毛”的安全需求。看看黑产在这个方向的专业分工：

(“薅羊毛”过程图示)

电商行业APP安全问题

解决方案

随着互联网的蓬勃发展，网购已经成为居民生活消费不可获取的重要部分。除了移动应用通用安全问题外，电商APP在业务安全方面存在的问题较大，腾讯云乐固针对电商APP提供了定制的安全解决方案。

1.支付安全解决方案

采用高度定制的安全键盘，严格的双认证传输通道，确保输入数据安全以及输入层到传输层的数据安全，有效防止截屏、输入信息窃取等威胁。

2.应用安全解决方案

乐固安全产品在源码、资源文件、运行时内存、逆向破解等方面对电商APP进行全方位保护。

3.业务安全解决方案

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!