摘要:無論對于互聯(lián)網(wǎng)企業(yè)用戶還是黑灰產(chǎn)業(yè)鏈條上的人,微信小程序無疑都是一個嶄新的巨大的入口����,也是每個使用者需要去面對去規(guī)避可能存在的風險。
1月9日微信小程序正式上線��,鋪天蓋地的各類評測�、使用、分析甚至是授課培訓之類的文章風一般席卷你所能看見的幾乎所有媒體�、社交平臺。
小程序在出生前就被一片看好——“可以替代極大占用內(nèi)存的APP”�、“低廉的開發(fā)成本與低消耗的時間成本”等聲音早已充斥整個互聯(lián)網(wǎng)。在這種全方位‘利好’的形勢下�,很多大公司小公司都不愿放棄這樣一個免費入口的機會���,想必小程序還將在將來幾個月持續(xù)紅火�����。
微信小程序的優(yōu)勢 它存在的你知道的和你看見的
微信小程序工作在微信整體的框架中呈現(xiàn)��,相比一些分發(fā)平臺和APP�����、傳統(tǒng)網(wǎng)站有以下幾個優(yōu)勢:
描二維碼����、微信提供的搜索和在會話、微信群中的推薦來獲取小程序���,去中心化避免了分發(fā)��、流量���、競價、排名�����;
所有的小程序都存放在微信自己的框架內(nèi)����,某個小程序一旦被添加就會下載暫存在用戶手機上,能夠快速裝載打開�����;微信的整體框架讓小程序使用的體驗非常流暢�����,一切以簡潔、快捷�、便捷為主;
小程序的開發(fā)技術相比APP的開發(fā)簡單許多����,能為企業(yè)節(jié)省下大量時間成本與人力成本,特別是對于初創(chuàng)公司來說�����,在品牌宣傳與市場營銷上可以節(jié)省下一大筆開支�;
在被分發(fā)機制慣壞的受眾體系下,如此麻煩的尋找方式也是另一種形式的“定位精準用戶”���。沒有粉絲數(shù)����、沒有打開率�、沒有KPI���,讓一切體驗更純粹����;
特定的開發(fā)語言(需要特別為小程序而學習)、嚴格的審核��、私有的發(fā)布渠道(沒有分發(fā)途徑)����,幾乎是形成了一個封閉的展示環(huán)境;
從目前得到的消息而言�,小程序無法群發(fā)消息、無法分享到朋友圈��,小程序之間亦無法關聯(lián)���,而且對營銷號�����、廣告位的行為嚴令禁止�����。未來如何發(fā)展也就是說如何盈利���,拭目以待���。
小程序也有風險? 你不知道不代表風險不存在
風險都是我們很討厭的東西����,他總是在最不恰當?shù)臅r候到來,比如正要下班回家被一通電話叫回單位���,或是剛剛發(fā)布了個新版本準備出去散個心����,火車上接到電話要處理問題���。風險就像撕不開甩不走的狗皮膏藥�,讓人不論做什么事情的時候心里總是懸著����,總感覺做點什么大事業(yè)為什么就那么難。
其實我在做了這么多年的業(yè)務風控后�,有一個非常直接的感受,盡管處理風險的人總是苦口婆心的講:任何業(yè)務的變動都等同的伴隨著機遇和風險�����,做任何業(yè)務改動一定要謹慎�,多跟安全來討論,但業(yè)務角度來講往往眼睛只看著機遇����,而選擇性忽略風險。
小程序的上線就可以看作是一個業(yè)務上的變動��,有了一個新的入口���,所有人都在高喊小程序要改變行業(yè)格局的時候�����,筆者默默的打開了幾個小程序檢查一下���,結果不出所料發(fā)現(xiàn)了幾例非常常見的撞庫風險:
在今天上線的眾多小程序登錄頁面中我們都需要面對一個選項——是否同意小程序“獲得你的公開信息(昵稱、頭像等)”��、是否同意小程序“獲取你的地理位置”�。如果不同意,部分小程序就無法進行體驗或使用了����。
而在選擇同意并進入頁面之后���,一些存在注冊、登錄��、綁定操作的小程序�,是否能夠保證我們帳號的安全?是否會讓有心人士有利可圖���?
什么是撞庫�����?
撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息�����,生成對應的字典表�,嘗試批量登陸其他網(wǎng)站后���,得到一系列可以登錄的用戶�����。很多用戶在不同網(wǎng)站使用的是相同的帳號密碼�����,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址����,這就可以理解為撞庫攻擊���。
有一定技術了解的人應該比較清楚�����,首先這個某家公司的小程序登錄接口用了http���,導致我們可以簡單的通過代理抓包提取這個登錄接口的請求內(nèi)容,然后構造不同的手機號碼和密碼組合就可以嘗試撞庫了�����,發(fā)現(xiàn)類似問題的公司到對應的手機APP和官網(wǎng)上看�����,其實都已經(jīng)做了比較完善的風控措施�,但因為一個新登錄入口的引入而又沒有考慮周詳���,原本堅固的風控體系一下子就變的形同虛設了。
如果你的產(chǎn)品已經(jīng)不再迭代了��、不出新功能了����、外部大環(huán)境也基本不動了,那么出現(xiàn)風險的概率是很低的�����。風險這個東西特別喜歡人們倉促匆忙的做一些事情�,互聯(lián)網(wǎng)時代需求瞬息萬變,用戶忠誠度低���,一個趨勢跟不上就有被淘汰的危險���,BAT都不敢松懈,小體量的公司更是舉著業(yè)務優(yōu)先的大旗一路高歌猛進���,安全往往只是停留在一個概念上����,甚至連概念都沒有,等業(yè)務量上來了再說唄�����。
但國內(nèi)的互聯(lián)網(wǎng)業(yè)務現(xiàn)狀我只能用一個字:亂 來形容�����,原因也很簡單����,我們的產(chǎn)品打磨周期實在是太短了����,留給產(chǎn)品研發(fā)上線的時間是按天來計的,造成的結果就是往往面上的工作做好了����,該有的概念都有,結果引擎蓋下面各種亂七八糟的拼湊���,看著外觀挺炫��,能不能用穩(wěn)不穩(wěn)定真要打個大大的問號�。
這種亂給了黑灰產(chǎn)生存的必要條件,不斷的侵蝕企業(yè)的利潤空間�,甚至有能力把一些抵抗能力比較低的企業(yè)扼殺在早期,比如那些個使用條件多到令人發(fā)指的優(yōu)惠卷���,普通消費者永遠是理不清楚的���,但黃牛卻能把各種折扣優(yōu)惠理個門清,直接告訴消費者我比官網(wǎng)便宜多少���,到最后消費者拿到了實惠���,企業(yè)缺只留下了一堆黃牛帳號,當無力繼續(xù)燒錢的時候草草關張����。
互聯(lián)網(wǎng)的草莽時代早已經(jīng)過去了,筆者曾經(jīng)做過這樣的預測��,接下來的市場拼的是精細化運營能力和風險抵御能力���,誰更能從地板縫里扣錢出來��,就能活的更久更長�,而黑灰產(chǎn)鏈條的形成,意味著任何粗暴的生長模式都會被他們啃干凈�,什么都留不下。
無論對于互聯(lián)網(wǎng)企業(yè)��、用戶還是黑灰產(chǎn)業(yè)鏈條上的人�,微信小程序無疑都是一個嶄新的、巨大的入口�,也是每個使用者需要去面對、去規(guī)避可能存在的風險��。
反爬蟲
文章來源:http://bigsec.com/
文章版權歸作者所有�,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉載請注明本文地址:http://systransis.cn/yun/115488.html
