摘要:無論對于互聯網企業用戶還是黑灰產業鏈條上的人,微信小程序無疑都是一個嶄新的巨大的入口,也是每個使用者需要去面對去規避可能存在的風險。
1月9日微信小程序正式上線,鋪天蓋地的各類評測、使用、分析甚至是授課培訓之類的文章風一般席卷你所能看見的幾乎所有媒體、社交平臺。
小程序在出生前就被一片看好——“可以替代極大占用內存的APP”、“低廉的開發成本與低消耗的時間成本”等聲音早已充斥整個互聯網。在這種全方位‘利好’的形勢下,很多大公司小公司都不愿放棄這樣一個免費入口的機會,想必小程序還將在將來幾個月持續紅火。
微信小程序的優勢 它存在的你知道的和你看見的微信小程序工作在微信整體的框架中呈現,相比一些分發平臺和APP、傳統網站有以下幾個優勢:
描二維碼、微信提供的搜索和在會話、微信群中的推薦來獲取小程序,去中心化避免了分發、流量、競價、排名;
所有的小程序都存放在微信自己的框架內,某個小程序一旦被添加就會下載暫存在用戶手機上,能夠快速裝載打開;微信的整體框架讓小程序使用的體驗非常流暢,一切以簡潔、快捷、便捷為主;
小程序的開發技術相比APP的開發簡單許多,能為企業節省下大量時間成本與人力成本,特別是對于初創公司來說,在品牌宣傳與市場營銷上可以節省下一大筆開支;
在被分發機制慣壞的受眾體系下,如此麻煩的尋找方式也是另一種形式的“定位精準用戶”。沒有粉絲數、沒有打開率、沒有KPI,讓一切體驗更純粹;
特定的開發語言(需要特別為小程序而學習)、嚴格的審核、私有的發布渠道(沒有分發途徑),幾乎是形成了一個封閉的展示環境;
從目前得到的消息而言,小程序無法群發消息、無法分享到朋友圈,小程序之間亦無法關聯,而且對營銷號、廣告位的行為嚴令禁止。未來如何發展也就是說如何盈利,拭目以待。
小程序也有風險? 你不知道不代表風險不存在風險都是我們很討厭的東西,他總是在最不恰當的時候到來,比如正要下班回家被一通電話叫回單位,或是剛剛發布了個新版本準備出去散個心,火車上接到電話要處理問題。風險就像撕不開甩不走的狗皮膏藥,讓人不論做什么事情的時候心里總是懸著,總感覺做點什么大事業為什么就那么難。
其實我在做了這么多年的業務風控后,有一個非常直接的感受,盡管處理風險的人總是苦口婆心的講:任何業務的變動都等同的伴隨著機遇和風險,做任何業務改動一定要謹慎,多跟安全來討論,但業務角度來講往往眼睛只看著機遇,而選擇性忽略風險。
小程序的上線就可以看作是一個業務上的變動,有了一個新的入口,所有人都在高喊小程序要改變行業格局的時候,筆者默默的打開了幾個小程序檢查一下,結果不出所料發現了幾例非常常見的撞庫風險:
在今天上線的眾多小程序登錄頁面中我們都需要面對一個選項——是否同意小程序“獲得你的公開信息(昵稱、頭像等)”、是否同意小程序“獲取你的地理位置”。如果不同意,部分小程序就無法進行體驗或使用了。
而在選擇同意并進入頁面之后,一些存在注冊、登錄、綁定操作的小程序,是否能夠保證我們帳號的安全?是否會讓有心人士有利可圖?
什么是撞庫?
撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站后,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址,這就可以理解為撞庫攻擊。
有一定技術了解的人應該比較清楚,首先這個某家公司的小程序登錄接口用了http,導致我們可以簡單的通過代理抓包提取這個登錄接口的請求內容,然后構造不同的手機號碼和密碼組合就可以嘗試撞庫了,發現類似問題的公司到對應的手機APP和官網上看,其實都已經做了比較完善的風控措施,但因為一個新登錄入口的引入而又沒有考慮周詳,原本堅固的風控體系一下子就變的形同虛設了。
如果你的產品已經不再迭代了、不出新功能了、外部大環境也基本不動了,那么出現風險的概率是很低的。風險這個東西特別喜歡人們倉促匆忙的做一些事情,互聯網時代需求瞬息萬變,用戶忠誠度低,一個趨勢跟不上就有被淘汰的危險,BAT都不敢松懈,小體量的公司更是舉著業務優先的大旗一路高歌猛進,安全往往只是停留在一個概念上,甚至連概念都沒有,等業務量上來了再說唄。
但國內的互聯網業務現狀我只能用一個字:亂 來形容,原因也很簡單,我們的產品打磨周期實在是太短了,留給產品研發上線的時間是按天來計的,造成的結果就是往往面上的工作做好了,該有的概念都有,結果引擎蓋下面各種亂七八糟的拼湊,看著外觀挺炫,能不能用穩不穩定真要打個大大的問號。
這種亂給了黑灰產生存的必要條件,不斷的侵蝕企業的利潤空間,甚至有能力把一些抵抗能力比較低的企業扼殺在早期,比如那些個使用條件多到令人發指的優惠卷,普通消費者永遠是理不清楚的,但黃牛卻能把各種折扣優惠理個門清,直接告訴消費者我比官網便宜多少,到最后消費者拿到了實惠,企業缺只留下了一堆黃牛帳號,當無力繼續燒錢的時候草草關張。
互聯網的草莽時代早已經過去了,筆者曾經做過這樣的預測,接下來的市場拼的是精細化運營能力和風險抵御能力,誰更能從地板縫里扣錢出來,就能活的更久更長,而黑灰產鏈條的形成,意味著任何粗暴的生長模式都會被他們啃干凈,什么都留不下。
無論對于互聯網企業、用戶還是黑灰產業鏈條上的人,微信小程序無疑都是一個嶄新的、巨大的入口,也是每個使用者需要去面對、去規避可能存在的風險。
反爬蟲
文章來源:http://bigsec.com/
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/50358.html
摘要:無論對于互聯網企業用戶還是黑灰產業鏈條上的人,微信小程序無疑都是一個嶄新的巨大的入口,也是每個使用者需要去面對去規避可能存在的風險。 1月9日微信小程序正式上線,鋪天蓋地的各類評測、使用、分析甚至是授課培訓之類的文章風一般席卷你所能看見的幾乎所有媒體、社交平臺。 showImg(https://segmentfault.com/img/bVHZn5?w=500&h=430); 小程序在...
摘要:無論對于互聯網企業用戶還是黑灰產業鏈條上的人,微信小程序無疑都是一個嶄新的巨大的入口,也是每個使用者需要去面對去規避可能存在的風險。 1月9日微信小程序正式上線,鋪天蓋地的各類評測、使用、分析甚至是授課培訓之類的文章風一般席卷你所能看見的幾乎所有媒體、社交平臺。 showImg(https://segmentfault.com/img/bVHZn5?w=500&h=430); 小程序在...
摘要:然而業務安全場景,識別用戶身份評估用戶信譽是業務風控的重要依據。數據風控服務的價值回歸到文章開始的問題,業務安全防控如何成為業務促進者,數據風控服務能否達成這個目標答案是肯定的。 你們安全不要阻礙業務發展、這個安全策略降低用戶體驗,影響轉化率——這是甲方企業安全部門經常聽到合作團隊抱怨。但安全從業者加入公司的初衷絕對不是阻礙業務發展,那么安全解決方案能否成為業務促進者,而非業務阻礙者呢...
閱讀 2630·2019-08-30 15:53
閱讀 2869·2019-08-29 16:20
閱讀 1079·2019-08-29 15:10
閱讀 1017·2019-08-26 10:58
閱讀 2187·2019-08-26 10:49
閱讀 628·2019-08-26 10:21
閱讀 699·2019-08-23 18:30
閱讀 1633·2019-08-23 15:58