潘大官丶人
支付寶從 2003 年誕生至今,存在裡面的鉅額金錢已經可以和各大銀行相媲美了。那既然支付寶這麼多錢,為什麼沒有黑客修改支付寶上面的餘額呢?
想要修改支付寶上面的餘額,首先要做的就是攻克支付寶,而攻克支付寶在技術上肯定是可行的。但是為什麼沒有黑客攻克支付寶並修改上面的餘額呢?
首先,攻克支付寶在技術上市可行的,只是沒有黑客能攻破而已。阿里的數據表明,支付寶時刻都在被攻擊,平均每天受到 16 萬次的攻擊,但基本沒有被攻破過。很多人可能覺得,只有百度騰訊才是做技術的,其實,阿里的技術不比百度騰訊差到哪裡去,相反,阿里的技術甚至強於百度騰訊。
而且,攻擊支付寶相當於攻擊銀行,性質非常嚴重。攻破支付寶並修改裡面的錢,某種程度上來說相當於搶劫銀行,搶劫銀行是什麼性質的犯罪,想必大家都心知肚明瞭。
倘若支付寶被攻破,那麼以阿里支付寶的技術,這些黑客絕對可以別監控到,最終結果估計只能鋃鐺入獄了。因此大部分黑客即使有能力,也不敢輕舉妄動。
攻克支付寶之後,支付寶賬戶上面的餘額是完全可以修改的。這個原理,想必程序員基本都知道,能接觸到的,直接修改後臺數據庫就完事了。
但是,支付寶就像一個網上銀行,餘額寶裡面的錢,今年已經首次超越了四大行。你認為銀行行長可以敢隨便修改自己銀行卡的帳戶餘額麼?
很明顯,不敢啊。黑客也一樣,即使攻破了,我估計也不敢修改賬戶上面的餘額。很簡單,這些都是有規則和法律的限制,一旦觸碰底線,就是犯法
你認為黑客攻破了支付寶是不是一輩子衣食無憂了呢?歡迎關注留言,等你評論,等你「一鳴驚人」!
stormzhang
可能很多人都覺得,黑客是個很牛逼的職業,常常看到的美國大片裡面,一個某某公司的小程序員或者貧民區裡的一個黑胖子,坐在電腦面前,噼噼啪啪一整亂敲,就進去了CIA的服務器,然後獲取出了自己想要的各種機密文件。
不過,這個在現實中其實是無法實現的,至少,要實現起來不是那麼簡單的。
對於黑客技術我並不是很熟,所以這裡我僅僅是以我對信息安全的角度來描述一下吧。
我們一般攻破服務器有兩種辦法:
一種是暴力破解:
什麼意思呢,我們都知道,不管是電腦,還是網站,我們要進入,就需要輸入用戶名和密碼,那不知道用戶名和密碼怎麼辦?
那就通過計算機,來演算出各種可能性,然後一個一個的放到這個網站或者電腦上去試。那這種方式就是暴力破解了。
但是,計算機的演算能力是有限的,想要通過這種辦法來演算出正確的用戶名和密碼,簡直需要愚公移山的精神。
而且,就不要說我們還有很多防範的措施了。
我們最常見的防範措施,大家應該都熟悉,一個就是輸入密碼前,還要輸入一個驗證碼,要我知道你是人,不是機器,但是,這個也是可以被模擬的。
所以我們就有第二個防範措施,也就是和銀行卡一樣,輸入密碼錯誤5次,今天你的賬號就被鎖了。
基本上,要演算出來正確的密碼,那是以億為單位的計算次數,一天如果我只有5次機會,那我這輩子都不可能完成了。
OK,這樣說來,暴力破解沒有意義嘛,基本沒有傻子會犯這樣低級的安全性錯誤。
但,有一個鼎鼎大名的公司,他的服務器就被暴力破解了。
那個公司的名字叫“蘋果”。他的iCloud服務器就曾經被黑客暴力破解了,導致很多好萊塢明星的私密照片流到了網絡上。
具體原因就不多說了,不然就說不完了。
那第二種是啥?其實就是通過漏洞攻擊了。
任何的系統,都不可能說自己完全沒有bug,所以,只要有bug,就可能會被發現,最後被加以利用。
可能這個bug不一定是windows系統的,我們的電腦上會安裝各種各樣的軟件,某些軟件其實會和互聯網隨時保持連接,那需要連接,就會開啟一些端口,我們可以通過端口掃描的方式,發現某些端口是否被打開,然後在通過這些軟件的漏洞,進入到這個計算機。
所以,如果是重要的服務器的話,你在安裝任何的軟件時,都會提醒你,是否信任並且要安裝。
而且對於服務器來說,一般不用的端口,我們都會設置防火牆,將該端口給禁用,以免被黑客所利用。
如果又能攻破防火牆,又能攻破系統漏洞的黑客出現的話(這樣的黑客很少),一般的大型網站還會有一種職位,叫白帽子,他們也是黑客,但是是友軍,平時的責任就是發現漏洞,然後通知開發修復漏洞,或者封堵一些系統級的漏洞。
所以,我們還是有一定的防守手段的。
攻擊的方式簡單說了,我們再說說改數據的難度。
一般來說,系統的數據並不是放在一個服務器上的,好像支付寶的數據,至少有上百個服務器來存儲吧。
黑客首先需要確定,他需要修改的數據到底在哪個服務器,他才能說進行攻擊吧。
這個工程就十分的浩大。
黑客花了大力氣,確定了服務器,然後找到了漏洞,然後攻破了(這個時候,他已經被發現了,白帽子已經開始鎖定他的位置了,如果他動作慢了就會被找到)。
然後他還需要確定,數據庫的那麼多字段中,那個是他的餘額。
如果有人預先將這些信息洩露給黑客了,讓他能夠輕易的找到餘額的位置,然後他進行了修改。
Good,他成功了,他的餘額變成了10億。
然後呢?要知道,金融的數據都是一環扣一環的,任何的餘額數據前,都包括了流入和流出,然後還記錄了流入的對象和流出的對象,在流入和流出對象那裡,同樣有著這樣的流入和流出數據。
OK,由於他沒有流入,數據是無端的變成10億的,所以,被系統認為是被汙染的數據,最終被修改過來了。
於是,他不死心,還想要來流入流出的數據。
這些數據可能在另一臺服務器上,那他就還需要再去進行一次上訴的流程。找服務器,找漏洞,然後攻進去。(這個時候,他可能已經被警察抓了,假設沒有被抓)
然後,改自己的流入數據,流入了10億,來源是哪裡,恩,某某人的建行卡。
OK,完了嗎?支付寶這裡,幹完了,但是支付寶連通了銀行數據,和銀行一對賬,完了,對不上,就去找誰錯了,發現日誌裡面沒有記錄這筆流入,它是憑空出現的。
OK,他的餘額又回去了。
如果他想完美怎麼辦?把建行服務器攻破了,然後找到那個賬戶,做10億流出,在做10億流入,怎流入的呢?櫃檯存的。
到這裡,基本就完美了,如果要發現,就需要查手工帳還有視頻監控了。
但如果系統不報警,基本不大有人會查。
但是,完成上面所有的工作大概需要多少時間呢?5天?10天?
如果讓你幹完這些事情,警察還沒到你家的話,那應該是中國警察都被開除了。
會技術的葛大爺
阿里的反黑實力究竟有多強?不知道多少人還對16年的阿里月餅門有印象。
當時阿里內部搞月餅搶購活動,弄了一個臨時的內部預定頁面,結果被自家幾個程序員破解,用腳本多刷了124盒月餅。事件經過輿論發酵後,阿里最終以維護企業文化的名義將涉事程序員開除。
其實呢,這種事情可大可小,自家員工多刷了點月餅,有人覺得無傷大雅,況且人才比月餅值錢多了,開除未免得不償失,小題大做;也有人覺得,這就是原則性的問題,涉事程序員是企業內部的不穩定因素,是挑戰權威,如果姑息,社會大眾會認為阿里就是個隨便沒章法的企業,
所以阿里殺雞給猴看無可厚非,就是要讓大眾放心,阿里在月餅這種小事上都不馬虎,所以用戶的利益一定也會得到最高級別的重視和保障。
這件事還有一個很耐人尋味的細節,堪稱當代的“揮淚斬馬謖”。涉事的一共五人,除了四名程序員,還有阿里一名P8級的高級專家,是國內安全攻防領域前三的人。
所以,我們可以從中得出兩點結論:
一、不管是否出於公關,阿里的反黑態度確實十分強硬。
二、阿里人才濟濟,臥虎藏龍,反黑能力絕對不弱。
事實上,阿里的反黑能力早就已經到了國家級別,這從阿里與各地公安進行警企合作就能看出來。
不過俗話說得好,樹大招風,阿里也確實遭受過黑客的攻擊。16年的雙十二,阿里的安全工程師就和國際上的頂級黑客進行了一場殊死搏鬥,阿里最終守住了交易環節的系統安全。
樹大招風的同時,根基也必定足夠深,阿里本身的防禦實力擺在那,不是隨便就能被撼動的,即使出了點么蛾子,他們也有足夠的恢復力,用戶甚至都察覺不到自己賬戶出過什麼問題,在我們交易的那幾秒,甚至是幾十毫秒之間,阿里已經做完了幾百項的安全檢測。
再者,阿里錢那麼多,如果是為了錢,黑客完全可以招安啊對不對,就算不為錢,只是為了技術上的成就感,那也要掂量掂量法律上的後果,
畢竟阿里是和銀行一個重量級的,篡改用戶餘額是觸及刑法的,和一般的網絡犯罪不一樣,那麼多公司可以敲詐(三觀不正),非要招惹支付寶,活著不好嗎朋友?更多優質內容,請持續關注鎂客網~~
鎂客網
修改餘額最麻煩,餘額不是一個字段,而是一筆筆往來進行加減計算出來的,比如你從銀行轉了1000,然後淘寶買東西花了500,實體店消費了400,別人還錢通過支付寶轉了你100。那通過這一筆筆往來計算出你支付寶裡還有200,現在你想改成1萬。需要怎麼做呢。首先黑入支付寶的服務器,並有DBA權限,而且你還要對支付寶的表結構非常清楚。這基本已經非常不可能了,能做到的只有內部資深工程師,因為黑客最多隻能入侵以及取得DBA權限。但他不可能對個不瞭解的系統表結構非常清楚。就算清楚,餘額不能直接修改,只能增加條往來記錄調整。增加餘額,無非就是增加一條轉入的記錄,轉入無非銀行轉入或其他賬戶轉入。支付寶和銀行是通過接口進行的,銀行通過接口傳給支付寶,這個賬戶轉入了1萬,就形成了一條記錄,你在支付寶單方面增加這條記錄,但接口銀行是沒有調用的。核對下就會發現。除非你還要黑銀行(銀行餘額同理)。那從其他地方轉入,那你就得找到個餘額大於1萬的賬戶(小於馬上系統就報錯了),增加一條該賬戶轉入你賬戶的信息。既然你都黑到一個賬戶了,幹嘛這麼麻煩轉錢給自己,還不如直接用他賬戶消費。
另外種方法就是修改歷史的交易記錄,比如,你今天消費了1萬,把改交易記錄調整為1元。但這個工作同樣麻煩,你單方面修改了,人家餘額就只增加了1元。人家開始是收入了1萬的,可能這1萬又花出去或者轉出銀行了,這樣你就要跟著這條記錄一直調整下去。何況支付寶肯定有某種記錄保障手段。
總之修改餘額,不如黑別人賬戶,或者刪除所有信息簡單,黑人家賬戶,你轉出了錢只會到別人卡上,修改人家卡,會有短信,你還要連著手機運營商一起黑。用人家卡消費,很容易人家就發現了。你收不貨?
所以就算是有黑客進入支付寶系統,並取得了最高的系統及數據庫權限。能做的,只能刪除所有信息,但阿里肯定是有極快的還原技術手段,就是是杭州地震,服務器壞了,其他地區服務器馬上代替工作的。
肥皂泡泡泡泡
作為一個工作多年的老程序員,曾做過信息安全系統,也搞過破解,逆向等工作,技術方面破解之難大家都說了很多了,我從投入和回報角度分析一下:
當年因為興趣我還破解了不少軟件,可近些年我都不幹這些事了,為什麼呢?破解並不是外人所想的那麼簡單,我想破解什麼,幾分鐘或者1小時搞定。破解是一個尋找漏洞和突破作者設置的層層障礙的一個過程,在破解之前你不知道要花費多少時間和精力,隨著你投入的時間越多,你破解的耐心會被逐漸消磨掉。程序員一個工作日的工資按照500元計算,你破解兩天等於花了1000塊錢,而你買這個軟件才100多塊錢,這是很不划算的。這兩天的時間你可以去接個私活幹幹,掙1000塊錢,然後買這個軟件,還剩下800多,所以你還會去破解嗎?之前有朋友一直問我要免費看VIP視頻的方法,我說我沒時間研究,花大量的時間研究,不如直接衝會員更省錢,因為對於程序員來說,投入時間就是投入錢,同樣的時間可以去幹別的活掙錢。玩網遊也是同樣的道理,天天費時間刷怪升級,我不如花時間掙錢,然後買個號更省事。
回到支付寶這個問題,對於如此複雜的系統,尋找漏洞可能要花上一年的時間,而掙不到1分錢,這個風險代價是很大的,很難有人有如此大的魄力,不吃不喝也要跟支付寶過不去吧。再者,如果真的能突破支付寶的層層防禦而不被發現,以這個人的技術能力年薪100萬以上,為什麼要冒犯罪的風險呢?
手機用戶83045412269
據我想象,阿里的防黑機制是“連環扣”,共十層,如果黑客攻進第一層,後面還有層層㠌套的九層防禦。黑客必須連破十層,才能進入核心,修改餘額。
但是,當黑客攻進第一層以後,阿里反黑總部的警報已經觸發,防黑高手們立即展開行動,多管齊下,基本上會在第二層堵住黑客。
曾有一些黑客,號稱全球頂級高手,黑進過支付寶防禦層的第二層,在即將攻破第三層時,還是被堵在門外。
可見,支付寶的十層防禦,全球無人可破。
另一方面,支付寶也有一個特殊機制,針對混在內部的臥底,或從內部離職出去的前反黑組成員。這就是:十層防禦機制,分別有十個團隊控制。除非有十個以上的臥底,順利地分頭混進十個團隊,否則,還是不可能得逞的。
這十層防禦機制,也意味著,即使有內鬼,也不可能有攻破的機會。
大宋2019
坦白說,修改支付寶的數字還真不是什麼難事。對於稍微有點基礎的黑客來說,將九塊錢改為9000個億,很簡單。
但問題是修改過之後,你就不能真的用它支付。不說別的,就拿賬戶餘額舉例。你的賬戶裡本來只有九塊錢的餘額,結果你就改到了9000個億。你如果沒有用它做交易的話,服務器不過知道有這個錯誤的存在。但你一旦用它來買東西,服務器會立刻識別。因為每個人將錢存入餘額之後,服務器會自動計算所有人餘額的總和。你一旦修改餘額,便會造成所有人餘額總和和服務器記錄下的總和不一致。而且由於是你購物時造成的服務器報警,所以會著重調查你賬戶的問題。
只想說說心裡話
關於關於黑客攻擊的話題,我認為可以分成兩個方面來討論。
所有的黑客都是由利益驅動,他們做黑客的目的無非是為名或者是為利。這種行為有點像古代的遊俠,他們做遊俠無非是為了一個民或者是為了獲得實際的利益,而這一切都需要有一個僱主來幫他實現,在計算機網絡領域,阿里這樣的公司就是這種理想的僱主。
真正技術厲害的人,那你就可以把他招攬過來或者安撫掉,這樣可以從源頭上來屏蔽很多直接的攻擊。
而到了利益不可調和的層面,這需要另一個話題,就是黑客攻擊到底有多難。
黑客攻擊是一個系統性的工程,技術是一方面,更多的是從社會工程的角度去進行突破。
目前真正的頂層的黑客攻防技術到底發展到什麼程度?目前為止無從所知。但從理論上來說,任何不隔離的網絡都有被攻破的風險。
而社會工程則涉及到一個企業的管理制度和管理架構上的事情。
而這一點阿里做得並不是很好。做為一家超級大航母的大公司,在管理上已經呈現出很多官僚主義的傾向。因為管理而出現防守上的漏洞,這種可能性是存在的。
從這個角度上考慮這種風險是存在的。
數據大腦
觀點一:
黑客如果想攻擊支付寶首先要先查找漏洞,當然馬雲肯定不會讓支付寶有漏洞,一旦出現漏洞被技術團隊攔截還好,如果沒有攔截到讓黑客修改了自己的餘額和後臺的數據那就要賠錢了,這個只是一個說法。 首先支付寶乃至阿里巴巴整個核心平臺的網絡在2008年大規模升級維護後,不誇張的說和五角大樓一個安全級別,這並非說黑客團隊攻不進去,而是黑進去以後的數據連鎖機制無人可破,數據保護有自啟和人為兩種,觸動後的結果就是阿里巴巴陷入癱瘓,等待工程師們查出漏洞後重啟,而資金在這期間無法轉入轉出分毫,全世界的大型銀行的網絡終端各有不同,唯獨這個閉鎖機制大同小異。
觀點二:
支付寶內部有不少高級的技術員在電腦前守著防著黑客的攻擊,當然黑客即便是入侵了支付寶的服務器還要一級一級的解密,解密是需要電腦不斷地進行運算,當你正在運算的過程中很有可能被支付寶內部的技術員抓到,然而又把黑客從服務器中趕出來,同時也會引起了內部技術員的注意力,這一點黑客沒有很強大的團隊的話是很難攻擊到支付寶的的服務器。其次即便黑客進入數據終端網絡,黑客也不敢動裡面的錢,畢竟在網上數據都是可以追蹤的,最重要的是支付寶的存款本質上只是一串數字,黑了你也取不走,數字經濟的可靠性,錢對我來說不過是一串數字而已了。
觀點三:
如果黑客入侵及破解支付寶的服務器修改了自己的餘額也是沒有用的,一旦修改自己支付寶的餘額那就要改寫內部好多的數據如資金來源,一級一級的改數據,當然改數據一改可能就要改好幾年前的數據,數據量大到驚人,數據有可能要改到銀行裡面,當要改銀行內的數據又要進一步進行入侵,這樣簡直是難上加難,如上面數據不修改那麼支付寶的備用服務器不認可等於沒有修改,所以黑客不會幹這麼累的事情。
近兩年來,黑客似乎變得更加猖獗,每年全球都會爆發數起大型企業遭黑客入侵事件,連世界知名的殺毒軟件廠商卡巴斯基也難逃黑客的毒手,2015年6月,該公司聲稱探測到一次針對其系統 “ 隱蔽性極高 ” 的黑客攻擊,實施這次攻擊的黑客很可能是策劃 2011 年 Duqu 木馬的幕後黑手。就在2015年,美國還有 CVS 等連鎖藥店、大型電信運營商 、婚外情交友網站、大型醫保企業、美國人事局、稅務局等均被黑。
另外,黑客攻擊某個站點還有擴大知名度或者出於報復等目的。目前黑客攻擊已經形成了一個黑色產業鏈,很暴利。
要避免網站被黑就需要
1、首先要重視網站安全建設,從安全制度、安全硬件、安全人員配備等都要有一定的規劃。如果網站的擁有者都不重視網站安全,僅把網站安全當作一個技術問題,那就是會帶來嚴重的麻煩。
2、要做好數據備份,防止不幸後可以將受攻擊的損失降到。
3、進行安全檢查,主動進行滲透檢測,考慮聯繫專業的第三方安全服務機構進行獨立和專業的滲透檢測,避免內部力量的不足和非獨立性。這類安全方面的專業機構,各有特色,例如北京的綠盟科技、深圳的安絡科技、廣州的互聯安全網等等,都是由一批原為“黑客”的技術人員創辦的網絡安全公司,專職於信息安全技術領域的研究及解決。
4、定製安全服務,因為安全服務不是一次檢測等就可確保安枕無憂的,需要定期進行安全維護,以及安全服務機構提供一些安全日常服務。
5、多主動掌握安全資訊,上國內互聯安全類網站去,賽迪、天極等專業媒體有專門的安全頻道和專題專欄。
柿子得挑軟的捏
黑客黑支付寶有什麼好處,不僅耗費時間,精力,錢,最後即便是攻下來了,有什麼意義,回頭也就是一條科技頭版新聞,支付寶技術不行被黑客攻破,然後接下來幾天的新聞就是,支付寶攻堅戰開始,擊敗黑客,等等之類的,傳播範圍就是科技圈,正常的用戶會感覺到嗎,感覺不到
就像現在一樣,支付寶,就一直在被攻擊呀,很多網站看著就是一個網站,但是也是會被攻擊呀,什麼幾百G的流量啊,什麼劫持啊,我不是很懂,但是,一定是會有的,就像我們國內某些不道德的互聯網公司一樣,明明老子用的就是360安全網址導航,非要給篡改成hao123,還有什麼2345導航,還有什麼搜狗網址導航
只是一般用戶沒有感覺而已
但是上一次,就一個勒索病毒,還是用比特幣支付,還是針對很多基礎設施,醫院,公安系統,教育機構,還有那些高校等等,對於普通人來說,醫院都要黑,這些黑客真的沒有道德,但是對於一些黑客來說,只有這樣才能滿足他們內心的慾望,他們就是要向所有人展示他們高潮的技術,就是要讓你們發洩出你們最真實的一面,就是看你們乾著急
總結:
支付寶的服務器沒有那麼容易入侵的,還有就是即便是入侵了改數據也能累死黑客,這筆錢不是那麼容易賺的,所以不要在被這樣的問題困擾。
精選家居即時分享
餘額對於用戶來說是金額,對阿里來說是一組數據。
文藝點說,能黑進服務器後臺,改個數據確實易如反掌;
通俗點說,有這本事的,都在阿里上班了
-所謂解鈴還須繫鈴人-
再者說,改了又能怎樣?你敢消費?過程中總會有數據交換,哪怕是改動一分錢,也會觸碰到高壓線!百度看看阿里雲的發展歷程,雙十一雙十二的交易記錄(短短几秒鐘計算億萬次計算不出錯),你就會知道後面的日子了,妥妥的管吃管住3+年
有點能力的,去提交個BUG拿點辛苦錢,不錯啦!
