互聯網信息時代，瀏覽器是了解世界的窗口。不管是辦公還是日常生活中，我們都通過瀏覽器來搜索資料，瀏覽內容、收發郵件。瀏覽器給我們帶來方便的同時，也帶來一些安全隱患。下面，給大家說一說常見的6個瀏覽器安全風險，同時，教大家在瀏覽網頁的時候，采取一些措施降低安全風險和隱私風險。

瀏覽器常見的6個安全風險

1、惡意插件

市面上的瀏覽器插件數不勝數，雖然用戶通過下載插件能夠增加瀏覽器的功能，增強瀏覽體驗。但是這也存在著一些安全隱患，比如：有些偽裝成合法的惡意插件，用戶一旦安裝這種惡意插件，就會面臨數據被竊取或下載惡意軟件的風險。

2、DNS中毒

DNS是互聯網地址，可以把輸入的域名轉換為IP地址，以便瀏覽器顯示我們要訪問的站點。但是，對計算機存儲的DNS條目或DNS服務器本身的攻擊可能會使攻擊者將瀏覽器重定向到釣魚網站等惡意域。

3、瀏覽器漏洞

不法分子利用瀏覽器漏洞或已安裝的插件/擴展中的漏洞進行攻擊，這種攻擊行為可用于竊取敏感數據或下載惡意軟件。攻擊通常從釣魚郵件/消息，或通過訪問已被破壞或被攻擊者控制的網站（驅動下載）開始。

4、隱私風險

一些互聯網提供商、網站和廣告商每天也在用戶瀏覽網站時收集大量數據。Cookie 是由Web服務器生成并由瀏覽器存儲一定時間的少量代碼。Cookie的保存有助于使瀏覽體驗更加個性化的信息，例如展示相關廣告或確保您不必多次登錄同一個站點。但是，如果不法分子利用它們訪問用戶會話，也將帶來隱私問題和潛在的安全風險。

5、會話劫持

用戶登錄網站和應用服務器會發布會話ID，但如果攻擊者設法暴力破解使用這些 ID 或攔截它們（如果ID未加密），那么他們可以冒充用戶登錄到相同的站點/應用程序，竊取敏感數據和潛在的財務細節。

6、中間人/瀏覽器攻擊

攻擊者可以設法將自己插入到用戶的瀏覽器和正在查看的網站之間，修改流量。例如，將用戶瀏覽器重定向到釣魚頁面、發送勒索軟件或竊取登錄信息。特別是當用戶在使用公共 Wi-Fi 時。

為了保護用戶能夠使用瀏覽器安全地瀏覽網站，我們需要采取一些措施來降低安全風險和隱私風險，使用安全瀏覽器進行瀏覽等。下面看看具體有哪些措施，能夠幫助我們安全瀏覽網頁。

7個安全瀏覽網頁的措施

1、只訪問HTTPS站點，有效防止攻擊者窺探瀏覽器和web服務器之間的流量；

2、及時更新瀏覽器和插件，降低漏洞風險，同時，卸載過時的插件減少被不法分子攻擊的風險；

3、提高網絡安全意識，不要隨意點擊未經請求的電子郵件并提交任何敏感信息，降低通過電子郵件和在線消息傳播瀏覽器威脅的風險。

4、只瀏覽官方網站，下載應用程序或軟件要去官網或者大型的下載站；

5、關閉瀏覽器的密碼自動保存，使用隱私瀏覽選項（即Chrome匿名模式），防止cookie跟蹤；

6、考慮使用以隱私為中心的瀏覽器/搜索引擎，最大限度地減少秘密數據共享；

7、更新瀏覽器設置,以防止跟蹤和阻止第三方 cookie 和彈出窗口。

分享安全、無廣告彈窗的瀏覽器

安全瀏覽網頁，首選安全性能高的瀏覽器，當用戶打開高危網站之前會提示用戶該網站存在安全風險，建議用戶不要訪問。眾所周知，谷歌瀏覽器是國際公認的最安全的產品之一，當然了一些國產瀏覽器在安全、無廣告方面做得也不錯。比如：多御安全瀏覽器https://www.xduoyu.com/。

多御安全瀏覽器是一款采用Chromium內核的瀏覽器，主打安全、無廣告彈窗。它具有AI防護，可識別惡意、欺詐等風險網址，并通過阻斷式的彈窗來提醒用戶，讓用戶遠離高風險網站，保護用戶的數據安全和財產安全。同時，它自帶強悍的廣告過濾功能，拒絕捆綁任何軟件，啟動和加載速度快，用戶體驗佳。

以上就是瀏覽器常見的6個安全風險，在工作生活中，大家要多了解一些使用瀏覽器瀏覽網頁的安全措施。同時，建議盡量使用安全方面做得好的瀏覽器，這樣能夠大大降低安全風險。

用HTML5構建的應用程序與任何基于web的應用程序一樣，開發商應采取適當的網絡攻擊安全措施，以保護任何存儲的數據和通信安全。想學習HTML5構建應用程序的更多知識和技能，不妨報名參加HTML5培訓學習，能在短時間內學到有用的東西，比自學更快速，更有效。

HTML5移動應用程序面臨的威脅有哪些？

1.來自惡意代碼的威脅

HTML5應用程序最有可能通過開發人員錯誤增加安全風險。例如，通過藍牙、Wi-Fi或短信自動執行惡意代碼。

此惡意代碼可以捕獲敏感信息，并將受害者的移動設備暴露給攻擊者。更糟糕的是，惡意代碼可能會傳播并導致應用程序執行錯誤任務，它的安全弱點正成為一個更大的問題。

通過使用不正確的API，應用程序易受攻擊。除了開發者錯誤，惡意代碼可以通過圖像和音樂文件（作為元數據）、QR碼、藍牙傳輸和通過WiFi傳輸的SSID字段注入應用程序。應用程序顯示的短信也可能包含惡意代碼。通過參加HTML5培訓學習，你可以學到更系統更全面的知識，不懂的問題也能及時問老師得到解決，大大提高學習效率。

2.中間件是一個主要問題

HTML5應用程序通常需要一個跨平臺的中間件框架。此中間件是JavaScript可以用其本機語言調用操作系統的方法之一。該中間件容易受到惡意代碼注入攻擊，稱為XSS（跨站點腳本），因為中間件同時接受數據和代碼并自動執行后者。

由于我們授予應用程序訪問聯系人列表、位置數據和攝像頭等權限，移動設備上的風險更大。

不僅僅是基于HTML5的應用程序會讓用戶面臨安全問題，還有一個普遍影響應用程序的問題，那就是很多應用程序存在很多危險的做法，而且大多數都與用戶隱私相關。

由于收集的數據類型不同，“應用內購買”尤其危險。它通常收集敏感信息，如你的電子郵件地址、電話號碼、地址以及可能的銀行詳細信息。這些信息可以與廣告網絡和/或分析公司等第三方共享，并承擔被濫用的風險。

HTML5在很大程度上是跨平臺的。跨平臺應用程序是移動應用程序開發的成就之一，但絕不能在安全問題和用戶體驗上妥協。實現這一點的一種方法是將重點放在應用程序、其云平臺特定功能和遠程身份驗證服務之間的集成上，并將它們與適用于web開發的安全最佳實踐相結合。想了解更多關于HTML5應用程序的知識和技能，可以參加HTML5培訓班學習，專業講師，規范課程，封閉式學習，讓學習更有效，更科學。

了解更多

銷反作弊通常指平臺在進行促銷/拉新策略時做的反欺詐工作，即反作弊風控。本篇將詳細描述用戶風險域之營銷反作弊。

我們常說的互聯網公司的風控部門主要為三方支付和銀行支付環節的風控以及金融小貸的用戶風控。金融小貸特別是涉及信貸,借貸業務，常常能聽到一個詞語叫做高危/高風險客戶，這類用戶往往會被拒之門外，其風控本質是通過大數據描繪用戶畫像進行風控。

而三方支付和銀行支付環節的風控更多的是偏向技術風控，在技術層面進行風險控制，防止整個交易鏈路被黑客入侵轉移資金等。而在電商風控領域中，針對不同對象我們又可以分為用戶和商戶，針對用戶域和商戶域再進行區別化的防控措施。

電商領域的用戶風險域不僅指用戶本身資質還涉及到用戶操作行為，我們對這塊用戶風險域的工作概括為兩個方向：營銷反作弊和內容信息安全。

營銷反作弊通常指平臺在進行促銷/拉新策略時做的反欺詐工作，即反作弊風控。在實際風控過程中，咱們可能會發現大量的關于業務上的漏洞、技術上的漏洞、人為流程因素以及風險發生后產生的次生風險。本篇將詳細描述用戶風險域之營銷反作弊。

互聯網帶來了方便和快捷的同時也產生了夾雜其中的灰色，咱們都知道平臺做推廣往往會有預算經費和KPI指標，其目的是為了留存用戶細水長流實現長期盈利。而羊毛黨式往往集群作弊，一個BUG信息在瞬間可以進行病毒式傳播在極短時間內薅走具有變現價值的紅包、優惠券。

筆者參與了大大小小無數場灰產薅羊毛，在其中見證了各平臺營銷反作弊的進化和迭代。攻守的雙方都在成長和進步，從最初的家庭小作坊到現在明確分工、程序半自動流程化以及各層級的分銷傳播。想做好反作弊沒有一定的實戰經驗，僅僅依靠零散的公眾號文章和碎片化信息，只會陷入不切實際的行動和理想化的策略。

引用《資本論》中鄧寧格說過的一句話：只要有百分之五十的利潤，就會引起積極的冒險；有百分之百利潤，就會使人不顧一切法律；有百分之三百利潤，就會使人不怕犯罪，甚至不怕絞首的危險的人。

知己知彼方能百戰百勝。在進入戰斗前,及時地查看相關對手的信息非常重要。

灰產的群體和模式

如果有這么一門生意，不需要大額的資本，不需要復雜的商業計劃，游離于法律法規之外，而它的收益是幾乎沒有上限且是純收益，筆者相信任何有機會參與其中的人都會趨之若鶩。這群人我們常稱之為羊毛黨，對于羊毛黨來說，薅羊毛的行為就像是日常工作。

“家庭小作坊”：一人多賬號（親朋好友）或者家庭親友團

20年前，某節假日杭城某泰搞大促。其規則大體就是商城大促期間每個自然人都有一份極優的折扣額度，但是商城為了保障更多的用戶享受到優惠，對每個自然人的總優惠金額做了上限。

這顯然低估了人民的智慧， “實惠”當頭，老百姓紛紛發動一切可以動員的力量。萬萬沒想到，上至80老頭老太下至7、8歲的小伢兒都積極參與這次商城大促。而這，也是筆者最早見識的家庭式作坊 “薅羊毛”。

在目前電商時代非常典型，通過口口相傳，將優惠分享給身邊的人，也是眾多電商平臺愿意看到的現象。

“鄉里包工頭”：稍具規模以盈利為目的的羊毛團體

包工頭往往通過傳幫帶的形式將一個個零散小作坊或零散人群進行收編，通過任務形式發放羊毛信息，將回收的實物或虛擬物變現到相應的渠道，賺取中間差價。

作為羊毛群體中最廣泛的群體，“鄉里包工頭”還有一個常用俗稱—羊頭。眾所周知，互聯網金融行業獲客成本常年居高不下，部分平臺內部人員為了完成KPI，甚至會直接聯系羊頭(或代理)進行談判，通過羊頭進行拉新促活以及募集資金。

這類羊毛黨中較專業人士已經針對平臺基礎的反作弊措施進行了迭代優化。咱們常見的設備號識別，IMEI 號識別或者是其它一些IP地址、Wifi地址等，羊毛黨都可以進偽裝，一臺設備就可以偽裝出N臺不同型號不同地址的App，直接繞過中小平臺甚至某些大型平臺的風控檢測。

而從平臺方看，這些都是一個一個真實的設備，但其實這些信息都是羊毛黨通過軟件編寫好的沒有價值的偽信息。

“接軌國際小地主”：專業刷手，分工明確，自產自銷

小地主顯然比“鄉里包工頭”更勝一籌。要業務渠道人家是一手的，要技術支持人家也是一流的，俗稱擼毛屆扛把子。因擅長方向不同又分信息流和技術流。

• 信息流擅長數據采集數據分析同時輔以技術，譬如優惠券信息各大主流電商平臺以及銀行推廣活動，針對業務模式尋找業務漏洞，再利用技術手段迅速行動獲得利益。
• 技術流擅長技術手段，針對活動背后的技術層面進行剖析，尋找技術上的漏洞和可能性，常見的有各類半自動化工具生產以及數據請求解密硬解等。

當然，因為合力才能斷金，信息流和技術流通常不分家。

目前，灰產屆部分技術業務流相結合的團體，甚至可以利用爬蟲甚至入侵數據庫的形式，獲取平臺方數據庫信息。得到數據后，對數據進行整理篩選，機選出優惠券信息和“錯”價產品，因平臺方業務漏洞等自身原因造成的BUG，羊毛黨發現后會在第一時間進行行動。比如：某電商的支付隨機立減4999的名額，通過技術手段直接實現100%獲得立減4999的名額。

當然如果某些平臺漏洞過大則會在吃完第一口肉后立即將信息傳播給下一層級的羊頭，畢竟出了事兒法不責眾。合情合理的在規避法律法規后，最大限度的合法獲利。

羊毛黨的威力和危害

在行業內有一句話叫做“薅上一天夠吃一年”。

羊毛黨的危害舉不勝舉。分分鐘擼垮上市公司的羊毛黨不僅會對平臺優質用戶的造成損害，更重要的是嚴重危害企業生命線。

案例一：拼多多一夜被薅疼

1月20號凌晨一點至9點30分，一則關于拼多多100元無門檻優惠券的線報刷爆羊毛群。薅上一天夠吃一年，一場羊毛黨的盛宴開啟了。不限設備不限IP不限賬號，皆可領取100元無門檻券。注意，這是領取，不是搶購。

截止20日上午9時許，拼多多工作人員上班后開始堵截漏洞。21日9時30分左右，基本完成作廢領券&無門檻券的使用。網傳平臺損失上千萬，在后期平臺對損失的大額變現的虛擬物品進行凍結并對變現實物的訂單要求商戶停止派發快遞，把損失控制在百萬內。

顯然，拼多多的風控存在嚴重的漏洞。不論是在技術保障、策略流程，還是企業內部都存在不可推卸的責任問題。

另一面，也凸顯出羊毛黨的可怕，上市公司都hold不住羊毛黨的群羊之勢。

案例二：家教O2O被薅到倒閉

把時間軸撥到2015年，那一年O2O模式被資本熱追。我們熟知的滴滴、Uber、美團、大眾點評等都獲得了數億美元的融資，瘋狂的補貼大戰就此開啟?！凹媛毰艿蔚?，月入10W不是夢”，打車O2O模式在那年早就了許多暴富的司機。

除了打車領域外，熱切的資本迅速把O2O的這把火燒到教育領域，游戲開始上演，無外乎：

• 增長靠補貼；
• 刷單作假刷數據；
• 依賴數據再融資。

這一時期，至少出現了上百家家教O2O品牌，但是截止今日除了被收購外，剩下的企業幾乎全部倒閉，能存活下來的零星幾家那也是早早轉型并將業務重心放在了其他領域的在線教育。

慶幸的是，對于目前稍微有點規模的電商企業，隨意一場營銷策劃活動。不論技術保障、流程方案是否有漏洞，還是活動策劃是否成功，或多或少大伙兒都會去做一些門檻設置。其實這已經是基本的反作弊風險意識了。

營銷反作弊，御守羊毛黨

龐大的用戶規模和大量的現金流動為電商行業貼上了“非典型行業”的標簽，因此網絡攻擊、黑客入侵、惡意刷單等不法行為步步緊盯這塊“肥肉”。尤其在節慶、大促等重要時間節點，電商行業面臨的風險和挑戰將更加突出。

薅羊毛大都和業務強相關，從技術角度分析，手段并不新穎，但是通常由于電商企業產業鏈較為復雜，無可避免或多或少的“BUG”。

當面對這些羊毛黨以及有組織的攻擊，電商平臺何去何從？我認為以下幾點可以幫助電商平臺更好的做好風險控制。

1. 建立完善全面的安全風控體系及模型

大多數中小型企業在做“用戶畫像”的時候，往往標簽化用戶，其標簽評定來源用戶填寫的數據。這種單維且較少更新的“用戶畫像”，相對價值較低，當咱們參考這類 “用戶畫像”去做推到產品分析，往往會發生精確度和趨勢與實際背離的情況。如果把這類信息作為主要的安全風控模型，或多或少存在一定風險，不是一個嚴謹的選擇。

對于用戶數據，根據所提供信息渠道來源我們可以分為明面數據和暗面數據。這里明面數據一般指注冊信息和實名認證，包括手機號、銀行卡信息等識別用戶主要憑證。

暗面信息指采集的用戶信息，這里一般指用戶環境（設備、網絡、sim卡等）和三方數據信息。除此之外，根據用戶信息的變化情況我們還可以再分為動態數據和靜態數據。

動態數據往往針對不斷變化的用戶行為信息，比如消費信息（金額、偏好、時間等），通訊信息（聯系人、通話記錄等），身份信息（職業、收入情況、教育培訓等）。

不論是何種信息，我們都有必要對信息進行整合分類，在分類后進行屬性的區分，主屬性后還有子屬性，就像一個樹狀圖，當然這僅僅只是關于數據的整理。隨后，咱們還需要對數據進行再加工，如下圖所示：

目前，越來越多的安全風控體系通過對數據多個維度進行深度的挖掘，避免了前文提到的單維且較少更新的用戶畫像存在的風險。

2. 梳理產品線評審新業務，強化運營實現全方位數據監控

在上一篇《從產品流程上，復盤拼多多的風控漏洞》中，有較為殷實的描述。

很多企業在迭代產品線前并未做好產品的架構導致整條產品線十分冗雜，當新業務上線無法做好到“高內聚低耦合”，這就直接導致新業務很有可能產生新的業務風險。所以，不論新業務內容大小，都需要進行審核評估，增加一層審批機制。

除此之外，越來越多的灰產從“單核、無序、粗暴”發展成“有目標、有組織、有進退”的三有的專業團隊，這直接導致咱們做好風控工作的難度越來越高。所以，實現全流程操作實時監控就十分有必要。

從用戶進入頁面的的那一刻起，注冊、登陸、領券、瀏覽、購物、倉配、評價到售后，每一個環節每一個步驟都進行統計。當某一個環節出現數據暴增等異常，就可以第一時間進行預警，控制風險的蔓延，并防止次生風險的發生。

3. 做好技術層面的數據接口流程及監控

除了產品及運營層面的風險防控外，技術層面的風險防控也尤為重要，作為產品筆者認為有必要了解一下相關的知識點。

著名的漏洞平臺烏云網曾經有一個接口跨域導致信息泄漏的案例：

簡單介紹一下：在前后端分離架構中，接口等同于前后端聯系的“電話線”。

• 核心關鍵資源，凡是資源的調用都與接口有關系；
• 凡是不是直接連接，需要“橋梁”過渡，均需要接口的輔助。

接口漏洞案例：

在我們使用4G上網的時候，常常見到網頁下方某處懸浮“流量助手”、“xx運營助手”等。這其實就是xx運營商進行了鏈路劫持，安插一些代碼。這個功能的本質是通過 jsonp 接口跨域數據請求，也正是這個功能，存在用戶手機號碼、流量使用狀況泄漏，同時安插某些而已接口還會惡意消耗用戶話費。

技術提升網絡安全的方式：

1. 采用HTTPS協議
2. 密鑰存儲到服務端而非客戶端，客戶端應從服務端動態獲取密鑰
3. 請求隱私接口，利用token機制校驗其合法性
4. 對請求參數進行合法性校驗
5. 對請求參數進行簽名認證，防止參數被篡改
6. 對輸入輸出參數進行加密，客戶端加密輸入參數，服務端加密輸出參數

除了以上三點外，筆者認為咱們安全團隊做好營銷反作弊需要兩手準備。一面咱們需要知己知彼，更深入了解灰產，熟悉攻擊手法，制定有效的策略。另一面，隨著業務體系的范圍擴容，涉及面越來越廣，這樣那樣的漏洞無可避免，這時總結經驗教訓尤為重要。

在開辟新道路的路上，有坑十分正常，當咱們跌倒了記得爬起來反思己身。常駐風控思維，面對未來道路有坑填坑有洞補洞，這樣才能最大限度的完善咱們的產品線提高灰產作案門檻。

本文由 @四月春波 原創發布于人人都是產品經理。未經許可，禁止轉載。

題圖來自Unsplash，基于CC0協議