推出企业服务火山引擎后,字节跳动收购容器平台才云科技
06-18
对于国人来说,春运抢票依然是春节期间最受关注的话题之一。
央视财经报道称,铁路部门表示,已查明第三方软件抢票的相关机器特征,并已实施限制措施。
这意味着,即使用户花钱通过第三方软件购买加速服务,其购票成功率也绝不会像各种抢票软件所显示的那样。
6为什么要限制第三方抢票软件?他们的技术怎么样?图片来自中国铁路微博 受限抢票软件 6 已做好准备 春节期间,全国运输能力与需求的不匹配以及铁路部门的购票系统存在问题,让第三方软件成为很多人购票的首选。
这也带来了安全、公平等问题,因此铁路部门在各方压力下不断完善购票制度。
近期,已采取6项行动。
2019年11月3日,新版本6上线。
新的网站界面UI更加清晰友好,移动页面属性更强,购票流程更加便捷,并增加了用户扫描登录功能。
2020年12月27日,铁路部门正式宣布,6号列车正式上线候补购票功能。
雷锋网获悉,6的候补购票功能意味着,当旅客遇到门票售完的情况时,可以在6平台登记购票信息,用于支付预购门票。
充值后,若有退款或剩余门票,6系统会自动为其购票。
其购票速度和成功率均优于抢票软件。
具体来说,在候补票务实施阶段,支持试点始发地和到达地候补票务的列车,当火车票售完后,将自动开候补票。
当然,购票者首先需要通过身份验证并提交备用购票订单。
之后,票务系统将自动安排在线等候名单。
当相应车次和座位因退票、变更等原因有车票可供出售时,系统将自动兑换车票,并将购票结果通知旅客。
6当官方推出候补购票功能时,很多人都认为这是第三方抢票软件的一大杀手锏。
1月份,铁路部门表示对抢票软件进行了限制。
抢票软件的风险 央视财经在报道中提到,由于第三方抢票软件存在安全风险,个人隐私信息无法得到保护,中国铁路局采取了相关措施。
新京报此前报道称,一名旅客下载抢票软件后,输入时间、车次等购票信息。
过了一会儿,软件提示“抢票成功”,但乘客按照提示提供了所有个人信息,包括银行卡和密码。
输入信息准备支付车票后,突然收到银行的提醒短信。
银行卡里的几千块钱被刷走了。
我联系了抢票软件的客服,发现号码是空的。
以上是一个被骗而不买票的案例,但仍然存在巨大的信息泄露风险。
铁道部从2016年开始试行网上购票服务,年底实现了列车全覆盖的承诺。
然而,自网上购票服务推出以来,用户信息泄露一直是6.0的一个问题。
据报道,2016年有超过13.6万条用户数据在互联网上流通和出售。
但6.com回应称,经核实,所有泄露的信息均包含用户的明文密码。
6.com数据库中所有用户密码均为多重加密的非明文转换码。
网上泄露的用户信息是通过其他网站或渠道泄露的。
6还发布公告,提醒旅客通过6官网购票,不要使用第三方抢票软件购票,或委托第三方网站购票,防止个人身份信息泄露。
同时也提醒,部分第三方网站开发的抢票工具存在保险功能捆绑销售,请旅客注意。
在利益的驱动下,信息泄露问题并没有好转的迹象。
2019年12月28日,Freebuf表示,“又一张涉嫌泄露数据的暗交易图片在圈内流传。
春运抢票高峰尚未到来,犯罪分子已有所行动。
”据称,这些数据包含了60万个账户信息,详细程度除了ID、手机号、密码外,还包括姓名、身份证、电子邮箱、问题和答案。
基于安全问题,很可能你可以直接诉诸其他平台。
重要的帐户信息。
此外,它还包括添加到每个帐户的联系信息,包括姓名和 ID 号。
这些联系人数据总量达到数万条。
中国铁路微博当天辟谣,称6号网站没有泄露用户信息,并再次提醒用户避免通过非正常渠道购票带来的风险。
雷锋网当时在报道中指出,经多方了解,业内人士认为,数据泄露可能是由于第三方抢票软件受到攻击或历史数据被清洗所致。
要知道,第三方抢票软件不仅可以获取核心业务信息(如价格、用户信息等),还会扰乱正常的用户活动(如抢购、恶意抢票等)。
第三方将获得越来越多的业务运营。
会被收集,但是6的声誉和核心数据会受到损失。
由此,我们可以更好地理解为什么6推出了备用购票功能。
6 限制抢票软件可能就是这种情况。
那么,铁路部门如何识别第三方抢票软件的相关机器特征并实施限制措施呢?由于6号没有公布其具体限制技术,雷锋网询问了业内专家。
专家表示,具体原理不方便解释,但可以确定,抢票软件是由程序(机器人)自动运行的,属于爬虫的范畴。
因此,我们可以参考反爬虫的相应方法来理解反爬虫的四种思路:特征库直接禁止、JS无传感器人机识别、异常行为检测和威胁情报库。
第一类需要保安人员丰富的经验。
他们往往可以从访问日志中快速看出是否存在异常行为,例如访问正常用户在没有Referer的情况下不会直接请求的页面,或者从主域名跳转。
请求中不携带任何cookie,请求体中包含大量重复的手机号码。
这些明显或不明显的“特征”都可以作为第一个爬虫检测策略——特征阻塞。
除了访问控制之外,利用JS收集Web环境中的操作行为、设备硬件信息、指纹等特征来判断请求是否来自自动化工具也是一种常见的思路。
不过,想法虽然简单,但在没有秘密的前端对抗环境中,保证采集信息和风险判断模型的准确性是专业安全团队投入大量精力打造的能力。
然而,特征匹配由于其较强的对抗性特征,是最容易绕过的保护规则,其中涉及异常行为检测。
说到行为,大多数人的第一反应肯定是限速,但限速有很多细节需要考虑。
另外,从UBA(用户行为分析)的角度进行建模也是一个不错的想法。
机器学习可以整合多个观察角度和维度来识别爬虫,增加了绕行和对抗的成本。
这与基于规则的保护相比。
一个优势。
而且,对于一些精心构建的低频、离散IP,机器学习可以很好地弥补规则检测的不足。
威胁情报库用一个例子来说明,机票一直是爬虫关注的重点。
旅行社背后的黄牛或者爬虫往往会光顾各大航空公司以获得最全的票价信息,那么当爬虫被检测到访问过ABCDE成为航空公司后,他加入X航空公司的概率大吗?当然。
这不是假设,而是在实际流量中发现的行为。
由此展开,基于一定的模型,生成在多个航空公司网站上存在可疑行为的实时爬虫库。
这是典型的云协同防御模型。
这样,对于新接入的X航空来说,甚至可以利用情报思路提前提供保障。
至于6中采用了哪些技术,我们还需要等待确认。
雷锋网认为,从安全角度来看,6官方渠道确实更安全,但相信很多用户不会使用6网站和APP,因为他们对体验非常不满意。
因此,从需求角度看,第三方抢票软件的需求依然旺盛,6限行与抢票软件之间的对抗仍将持续,直至春运关键问题发生变化。
本文参考阿里云安全公众号杨军《一场无休止的战争 浅谈纵深防爬的”抗战“ 之路》相关文章:铁先生否认,6万多暗网用户数据从哪里泄露?尴尬的!我被一个付费抢票软件骗了。
这个产品居然抢不到6。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-18
最新文章
Android旗舰之王的过去与未来
智能手表不被开发、AR眼镜被推迟,Meta的产品经历了一波三折
为什么Cybertruck是特斯拉史上最难造的车?
更新鸿蒙3后,文杰允许你在车里做PPT了
新起亚K3试驾体验:追求“性价比”,韩系汽车仍不想放弃
阿维塔15登场!汽车配备了增程动力,理想情况下会迎来新的对手吗?
马斯克宣布创建 ChatGPT 竞争对手! OpenAI的CEO给他泼了冷水, GPT-5可能会发生巨大变化
骁龙无处不在,是平台也是生态