诸子云｜甲方 ：怎么防止薅羊毛和诈骗？

本期为“甲方”2024第九期，统计了4.26-5.10期间的社群动态、甲方话题等。

目前，诸子云认证会员已超过3000人，包括上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛、苏州、天津、佛山、济南、珠海、台州共16个分会。在4.26-5.10期间，各地分会共计新增了6位甲方专家。

Q1：请问，最近要做一个抽奖网站，有没有什么好的防薅羊毛和防诈骗的思路？

“支付通道要前后端分离加密，私钥密文验证。”

“你这个问题有点抽象，可以具体点，是需要架构上、业务流程上还是哪方面的？”

“验收这个网站系统，如何进行检测和验收？比如通过渗透的方法进行验证。”

“检测应该是自检和第三方测试，出具权威一点的功能性测试方案和整改建议，验收需要先运营个一年以上，合同签一下风险控制和风险担责的条款。”

“一个抽奖的页面不会运营太久，因为是政府网站，所以想顾忌一些影响。”

“那就常规渗透测试，最好前后端分离，及时下线控制带宽对异常的高频IP进行审计，测试的时候可以在压力测试环节加点策略自动拦截或限制高频访问。”

“感觉只要做抽奖基本都有薅羊毛的人想试试。”

“有没有可能通过代码审计查到薅羊毛的办法？”

“薅羊毛一般是业务逻辑上的漏洞，代码审计要看你怎么审，建议拿着业务需求、设计文档或者伪代码审计，白盒工具这种审计不太可能做到。”

“看代码审计者的业务逻辑漏洞经验，最有效的方法还是做渗透测试，当然能挖到业务逻辑漏洞对渗透测试人员的专业性要求高。不是简单的找注入这种，有些是业务逻辑组合漏洞，分开看都正常，组合起来就不正常了。”

“就是要这种渗透方法，建议可以先众测一番。”

2023（第三届）超级CSO年度评选，由安在新媒体策划发起并组织举办，得到包括中国网络安全审查认证和市场监管大数据中心（CCRC）大力支持，同时有数世咨询、数说安全、看雪、安全419、Freebuf等多家媒体和专业机构的共同参与。

其他甲方话题，请扫码加入诸子云知识星球。

专家会员是诸子云的立身之本，甲方专家的一举一动都能反映出当下的行业趋势、市场脉络、用户需求及应用实践等等。安在新媒体将继续关注专家会员的实时动态，一如既往地向外界输送诸子云甲方社群的最新成果，期望以此来推动更多人关注网络安全，关注甲方专家。

扫码加入诸子云。