阿里的反黑实力究竟有多强?不知道多少人还对16年的阿里月饼门有印象。
当时阿里内部搞月饼抢购活动,弄了一个临时的内部预定页面,结果被自家几个程序员破解,用脚本多刷了124盒月饼。事件经过舆论发酵后,阿里最终以维护企业文化的名义将涉事程序员开除。
其实呢,这种事情可大可小,自家员工多刷了点月饼,有人觉得无伤大雅,况且人才比月饼值钱多了,开除未免得不偿失,小题大做;也有人觉得,这就是原则性的问题,涉事程序员是企业内部的不稳定因素,是挑战权威,如果姑息,社会大众会认为阿里就是个随便没章法的企业,所以阿里杀鸡给猴看无可厚非,就是要让大众放心,阿里在月饼这种小事上都不马虎,所以用户的利益一定也会得到最高级别的重视和保障。
这件事还有一个很耐人寻味的细节,堪称当代的“挥泪斩马谡”。涉事的一共五人,除了四名程序员,还有阿里一名P8级的高级专家,是国内安全攻防领域前三的人。
所以,我们可以从中得出两点结论:
一、不管是否出于公关,阿里的反黑态度确实十分强硬。
二、阿里人才济济,卧虎藏龙,反黑能力绝对不弱。
事实上,阿里的反黑能力早就已经到了国家级别,这从阿里与各地公安进行警企合作就能看出来。
不过俗话说得好,树大招风,阿里也确实遭受过黑客的攻击。16年的双十二,阿里的安全工程师就和国际上的顶级黑客进行了一场殊死搏斗,阿里最终守住了交易环节的系统安全。
树大招风的同时,根基也必定足够深,阿里本身的防御实力摆在那,不是随便就能被撼动的,即使出了点幺蛾子,他们也有足够的恢复力,用户甚至都察觉不到自己账户出过什么问题,在我们交易的那几秒,甚至是几十毫秒之间,阿里已经做完了几百项的安全检测。
再者,阿里钱那么多,如果是为了钱,黑客完全可以招安啊对不对,就算不为钱,只是为了技术上的成就感,那也要掂量掂量法律上的后果,毕竟阿里是和银行一个重量级的,篡改用户余额是触及刑法的,和一般的网络犯罪不一样,那么多公司可以敲诈(三观不正),非要招惹支付宝,活着不好吗朋友?
更多优质内容,请持续关注镁客网~~
修改余额最麻烦,余额不是一个字段,而是一笔笔往来进行加减计算出来的,比如你从银行转了1000,然后淘宝买东西花了500,实体店消费了400,别人还钱通过支付宝转了你100。那通过这一笔笔往来计算出你支付宝里还有200,现在你想改成1万。需要怎么做呢。首先黑入支付宝的服务器,并有DBA权限,而且你还要对支付宝的表结构非常清楚。这基本已经非常不可能了,能做到的只有内部资深工程师,因为黑客最多只能入侵以及取得DBA权限。但他不可能对个不了解的系统表结构非常清楚。就算清楚,余额不能直接修改,只能增加条往来记录调整。增加余额,无非就是增加一条转入的记录,转入无非银行转入或其他账户转入。支付宝和银行是通过接口进行的,银行通过接口传给支付宝,这个账户转入了1万,就形成了一条记录,你在支付宝单方面增加这条记录,但接口银行是没有调用的。核对下就会发现。除非你还要黑银行(银行余额同理)。那从其他地方转入,那你就得找到个余额大于1万的账户(小于马上系统就报错了),增加一条该账户转入你账户的信息。既然你都黑到一个账户了,干嘛这么麻烦转钱给自己,还不如直接用他账户消费。
另外种方法就是修改历史的交易记录,比如,你今天消费了1万,把改交易记录调整为1元。但这个工作同样麻烦,你单方面修改了,人家余额就只增加了1元。人家开始是收入了1万的,可能这1万又花出去或者转出银行了,这样你就要跟着这条记录一直调整下去。何况支付宝肯定有某种记录保障手段。
总之修改余额,不如黑别人账户,或者删除所有信息简单,黑人家账户,你转出了钱只会到别人卡上,修改人家卡,会有短信,你还要连着手机运营商一起黑。用人家卡消费,很容易人家就发现了。你收不货?
所以就算是有黑客进入支付宝系统,并取得了最高的系统及数据库权限。能做的,只能删除所有信息,但阿里肯定是有极快的还原技术手段,就是是杭州地震,服务器坏了,其他地区服务器马上代替工作的。
感谢邀请
为什么没有黑客修改支付宝上面的余额,技术上的难度有多大?
题主问题的核心为什么没有黑客改支付宝上面的余额,技术上的难度有多大?首先这个问题我觉得可以从两个方面来说,第一个到底是没有黑客入侵,还说支付宝的风控系统和实时安全监控方面做的更好,我想应该两者都有,因为确实互联网的发展已经有十几年的历史,其中高端技术型人才确实层出不穷,所以确实可能有人尝试过,但是最后都没有成功,另外一个方面在于技术方面确实难度很大,而且我们有没有想过,如果入侵支付宝之后结果会怎么样呢?那就是坐牢,因为我们都知道现在国内的互联网企业都有大佬级别的专家存在,追踪到你的IP确实很简单,而且随着互联网方面的安全风险提升,国内也成立了网络警察专案组,其中不乏也有佼佼者的存在。
一,为什么没有黑科入侵支付宝,以及修改上面的余额?
1.实际有人入侵过,只是被拦下了。这个事情实际发生在2014年和2015年,根据阿里巴巴的数据显示,在2014年的时候淘宝服务器曾遭到攻击,在2015年的时候阿里云曾遭到攻击,但是最后都被拦截了下来,没有受到任何损失。从这里我们就可以看出来,确实有人去尝试,这是没有成功。
2.支付宝对于安全方面的一些激励措施,比如把找漏洞作为日常工作,而且有奖励。实际支付宝就有这样的一个案例,根据支付宝官方信息显示,实际支付宝曾经给一位学习工业设计的大四同学奖励过高达16.1万的漏洞奖励,他的ID是Afters。
这就是用奖励的方式,让工作人员不断的发现漏洞,而且如果找到漏洞还有奖励,这个确实很激励,而且这种方式实际也算是进行自我检修,找到漏洞就有奖励,他们自然是会很用心。
3.安全方面的优势。实际除了有激励措施之外,阿里的安全中心,全称是阿里巴巴安全响应中心(ASRC),相当于阿里的“军情六处”。它主要是针对各种漏洞和入侵者的一组解决方案。而且内部对于网络安全方面确实有着超乎业界想象的安全防护措施,通过图像,文字识别,视频,自然言语,生物技术,以及语音安全技术多个方面通过精准的算法和分析提供全方位的服务。
同时在后来因为阿里王坚作为一名心理学博士,他认为要发展云计算,后来和马云谈妥了,组建了现在的阿里云,王坚认为大数据的方向就是云计算,马云也表示过,失败了,钱就会白白浪费掉,不过这钱花得起,这是战略。之后我们也看到了,马云每年向阿里云投资10多亿。然后阿里云开始购买几十万台服务器,不是几十万元的花,而是几十万台的购买。实际现在阿里云对于大数据方面的分析确实已经做的很好了,比如就像是12306,就是用的阿里云服务器。
4.实际随着科技的发展,没有人愿意去冒险,也是其中的一个重要原因。首先攻克支付宝确实从难度方面来说很大,关键是你攻克了之后怎么样呢?把自己的余额修改一下,这样肯定是徒劳的,而且还容易被发现,因为现在互联网企业都有数据备份,最后发现你的有所不同,这不是很明显吗?而且网警,以及阿里的工程师,也会很快追踪到你的地址和IP,最后等待你的是法律的制裁。
二,攻克支付宝的难度大吗?
确实很大。在很早之前,确实有人预估过支付宝无法承受大量的DDOS, 300 G峰值估计支付宝将不住崩溃,就是说只要有六十万的DDOS攻击支付宝,支付宝到服务器可能会瘫痪,但是那个时候宽带方面有所限制,而且也没有普及,所以要想达到这样的实力,确实从环境方面和条件方面是有所限制的。
之后随着时间的推移,我们发现实际支付宝也在成长,而且就像是每年的双十一,这个实际就堪比大型的DDOS攻击,而且从应付的难度来看比DDOS要更强,但是阿里还是可以轻松应对。
从客观条件来说,阿里拥有者自己的安全中心,防护系统,同时系统有备份,而且即便是你入侵,确实也没有任何的意义,反而是会追查,所以现在很少人这样来做。
总结和个人想法
阿里为了安全,实际已经成了专业的部门,而且我们也发现除了这些之外,阿里在云计算方面做的也相当的好,大型的服务器,以及包括阿里达摩院平头哥自研发的AI芯片等等这些,都预示着阿里的安全等级越来越高,而且确实有这样能力的人,大部分已经被阿里招募了,阿里并不缺钱,缺的是人才,所以在这种诱惑之下,相比当做黑客修改余额和入侵,确实要更加安全和稳定,这种情况下谁又想当黑客呢?
回答完毕
欢迎留言发表不同的看法和想法:
作为一个工作多年的老程序员,曾做过信息安全系统,也搞过破解,逆向等工作,技术方面破解之难大家都说了很多了,我从投入和回报角度分析一下:
当年因为兴趣我还破解了不少软件,可近些年我都不干这些事了,为什么呢?破解并不是外人所想的那么简单,我想破解什么,几分钟或者1小时搞定。破解是一个寻找漏洞和突破作者设置的层层障碍的一个过程,在破解之前你不知道要花费多少时间和精力,随着你投入的时间越多,你破解的耐心会被逐渐消磨掉。程序员一个工作日的工资按照500元计算,你破解两天等于花了1000块钱,而你买这个软件才100多块钱,这是很不划算的。这两天的时间你可以去接个私活干干,挣1000块钱,然后买这个软件,还剩下800多,所以你还会去破解吗?之前有朋友一直问我要免费看VIP视频的方法,我说我没时间研究,花大量的时间研究,不如直接冲会员更省钱,因为对于程序员来说,投入时间就是投入钱,同样的时间可以去干别的活挣钱。玩网游也是同样的道理,天天费时间刷怪升级,我不如花时间挣钱,然后买个号更省事。
回到支付宝这个问题,对于如此复杂的系统,寻找漏洞可能要花上一年的时间,而挣不到1分钱,这个风险代价是很大的,很难有人有如此大的魄力,不吃不喝也要跟支付宝过不去吧。再者,如果真的能突破支付宝的层层防御而不被发现,以这个人的技术能力年薪100万以上,为什么要冒犯罪的风险呢?
“极客谈科技”,全新视角、全新思路,伴您遨游神奇的科技世界。
余额宝并不是从来没有遭遇到过黑客的攻击,树大招风,支付宝应该是每一名合格黑客将要攻下来的“假想敌”(据相关网络报道,支付宝高峰期一天之内遭遇到16亿次的工具,数据由网络获取,真假未经证实)。就连春节当天也发生过疑似黑客攻击的事情,不知道您是否也收到过下图中的消息“Hi,你收到一条账号安全检测提醒”,点击进入之后则显示系统繁忙请稍后再试,支付宝官方暂未给出相关说明。那么,黑客攻入支付宝并修改上面的余额是否能够实现呢?
我始终信奉着这样一句话,只要是人研发出来的系统,就一定会存在漏洞。支付宝至今未能够被攻克,并不是说支付宝并没有漏洞,而是还没有能够发现漏洞的人出现。说一下黑客修改支付宝金额的问题,即便成功也不会有任何的意义,为什么这么说呢?你修改的只是表象并非核心数据,更改之后也会随着更新同步修正过来。
举一个简单的例子,我们可以通过F12调出浏览器的代码数据,通过修改代码来变更我们网页中的某项显示数据,服务器端并不会因为你更改了网页中的显示数据而与你同步,最后依然是网页数据与服务器中的数据同步。如果不绕过表面数据,深入到支付宝服务器中进行修改,所做的一切只不过是无用功罢了!想要黑入支付宝核心数据库难度就大了,即便是支付宝核心人员也不会有几人有权限进入。
毕竟支付宝属于金融产品,自身安全防护等级就不低,一般的黑客想要进入并非易事。一个是人才的招揽,马云虽然并不是计算机专业出身,但是对于技术人才十分重视,吴瀚清就是一个典型的例子,甚至有传闻马云之所以拍板高薪聘请吴瀚清,就是因为吴瀚清现场把阿里巴巴的服务器给黑了(现主攻防火墙云盾)。阿里巴巴并不只有吴瀚清一个人,背后整个信息安全团队肩负起了支付宝的安全重任,背后还有达摩院提供强有力的技术支撑。
黑客的力量毕竟有限,支付宝安全团队每天都会模拟各种攻击,找出系统中不为人知的漏洞,毕竟这是他们的工作任务,这势必会无限增加黑客贡献系统的难度。支付宝系统具有实时监控,一旦发现异常就会立刻报警,这些都增加了篡改额难度,甚至是毫无可能。
黑客的圈子其实并不是很大,顶级黑客早已被各国登记在案。不具备攻克能力的黑客来了也无妨,只不过是对支付宝安全体系的一次检验而已;具备攻克能力的黑客就那么几个,一旦有所行动势必会被相关部门、人员所盯上,风险与利润并不成正比,顶级黑客并不会轻易铤而走险。支付宝历史上并未出现过因为黑客攻击而导致的经济损失问题,倒是有一次大规模用户账号泄露事件。2013年漏洞报告平台乌云发布漏洞报告,声称支付宝用户账号大量泄露,数额在1500至2500万之多。支付宝当时也给出了回应,仅仅是用户账号泄露,并不包括用户密码以及私密数据,并称支付宝并不存在漏洞,也无法确认上述账号是否真的由支付宝泄露。
hao比特币| 正加财富网内容推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 新手交易教程 | 平台提币指南 | 挖矿方法讲解 |
