百度卫士承诺不捆绑，这是要用“柔道”回敬360 - 今视网 - 关注民生，传播江西-江西省新闻视频门户-江西省重点新闻网站-江西广播电视台主办
&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&&
当前位置&&&&&&
百度卫士承诺不捆绑，这是要用“柔道”回敬360
15:45 来源：今视网
　　这个中秋节，轰轰烈烈的“虎狗大战”打响。搜狗称陆续收到用户反馈，360在未经同意下将默认浏览器从搜狗修改为IE或360，并禁止重新设定。搜狗认为该行为已经干扰了其正常运营，并向西安市中级人民法院提起诉讼，状告奇虎360不正当竞争，并索赔经济损失人民币4500万元。对此，360矢口否认并宣布也起诉搜狗。
　　就在虎狗互喷互咬的同时，“熊”（百度图标是熊掌）却从背后打出一记刺拳：9月22日，百度正式发布系统工具软件“百度卫士1.0”正式版，同时宣布“百度杀毒”用户数量已突破千万。官方简介称，百度旗下安全产品主打“不骚扰用户、不胁迫用户、不窃取用户隐私”的“三不”理念。
　　然而，我最关注的却是，百度透露的“百度卫士不捆绑其它产品”的信息。
　　要知道，360正是以安全卫士捆绑其它产品的模式，一路横空直撞、野蛮生长，直至变成一百多亿美金的平台级公司。“战争之王”周鸿t本人，也凭借安全帝国，坐稳了一张与李彦宏、马化腾、马云、雷军四大佬同台过招的交椅。以安全卫士“1+N”为核心的产品体系，根本就是360竞争力所在。
　　道理类似，腾讯帝国的命脉也在于以IM为核心的产品推荐系统。马化腾说过，“QQ就是腾讯的命根子”。作为一个亲历过3Q大战的老兵，我感受过腾讯“命根子被攥住”的狂怒。这就是当“扣扣保镖”推出后，马化腾明知要冒全天下之大不讳也要“二选一”的秘密。
　　360的命根子，就是360卫士。360杀毒、360浏览器、360搜索，哪个不是背靠大树好乘凉？杀毒的触发和存在感相对狭窄，而下载、网购、隐私保护等操作中全都是卫士提醒的。“360安全卫士”的品牌和战略威慑力，远远高于杀毒。其战略枢纽之地位，类似腾讯的QQ、阿里巴巴的淘宝、百度的搜索框。
　　射人先射马，擒贼先擒王。这一回百度够狠！除了战略注资金山网络，联手腾讯出钱出枪扶持傅盛缠斗老周外，还干脆自己出手直捣黄龙。为什么？因为金山网络的模式其实也是仿360，以金山卫士拱卫金山毒霸、猎豹浏览器，通过导航和搜索框卖流量。但金山卫士的安装量和360卫士不在一个量级上，同样招数下打架，肌肉壮的自然赢定了。
　　而这一切，百度不需要。因为百度有的是钱，有的是流量，亏得起。这样一来，就等于把360的竞争优势反而变成了劣势，百度敢承诺“不捆绑”，360不能。这，就是“柔道战略”。
　　《哥伦比亚百科全书》的定义是：“柔道是将对手的体能和力量为己所用，借力打力，击败对手而获胜的一种武术，它能使弱者或体重处于劣势的人战胜身体方面占优势的对手。”
　　美国学者Yolfie在其《柔道战略》一书中把柔道看做一种商业策略，核心是借力打力。作为弱势的一方，不能与强大的一方硬碰，而要设法把对手的体重、力量等优势变成对其不利的因素。2007年，周鸿t总在公司内部以及业内朋友间推荐柔道思维。他甚至要求把当时只在金书网才有的几十本《柔道战略》“通通买回，让我们的人都看看”。
　　为什么？因为老周对柔道战略轻车熟路。不信？我给你扳指头数数。3721时代，CNNIC搞总代，他就搞扁平渠道。雅虎时代，网易品牌邮箱独大，他就搞OEM合作。杀毒时代，金山卡巴斯基都收费，他就免费。手机时代，小米高价期货，他就搞低价现货。搜索时代，百度某些行业广告卖得好，他就干脆不收费。一招鲜，吃遍天。周鸿t携柔道战略占尽了便宜，佛挡杀佛！
　　没想到，这一次百度居然“师夷长技以制夷”，以柔道战略还击360！让360的竞争优势突然变成了劣势。这下热闹了，百度卫士会吃下多大份额？老周会怎么反击？
　　要钱，百度股价半年来狂涨70%多，根本不差钱。要流量，百度手握中国互联网命脉。要盟友，与360交恶的排队站。百度卫士只有两件事要拼，一是产品，究竟能做多好，二就是做安全的决心，决心有多大？
编辑:李柳瑶附近人在搜什么
360与“银联在线支付”推网络支付安全解决方案
　　(速途网消息)伴随团购促销、电子商务、旅游出行等消费市场的日益升温，老百姓对日常网络支付安全性需求也显著提高。为了进一步覆盖和完善支付产业链的安全保障，日前国内最大的互联网安全供应商360公司宣布与中国银联旗下“银联在线支付”正式携手，共同构建电子商务的网络安全支付平台。　
　图：360对“银联在线支付”用户控件安装提醒　　目前，360拥有3.77亿用户，用户渗透率达到92.2%，是中国第一大互联网安全公司，360安全浏览器的用户数量达到2.10亿，用户渗透率达到51.3%，360个人起始页(网址导航)的用户数量为1.07亿，360手机卫士是中国第一大手机安全产品，市场占有率超过60%。　　“银联在线支付”是中国银联联合商业银行共同推出的集成化、综合性、开放性网上支付平台，全面支持各类型银联卡，涵盖认证支付、快捷支付、普通支付、网银支付等多种支付方式，可为银联卡持卡人的购物缴费、商旅预定、慈善捐款、转账还款等提供“安全、快捷、多选择、全球化”的支付服务。“银联在线支付”具有方便快捷、安全可靠等显著特点。基于特殊的“无卡通道”，用户使用银联认证支付、快捷支付和普通支付时，无需使用网银，只要在银联支付平台输入必要的认证信息就能快速付款，完成交易。　　此次双方合作后，360安全浏览器将积极加强拦截钓鱼网站和木马页面，同时将 “银联在线支付”网站()、银联在线等域名，加入反钓鱼监控体系，作为重点保护监控对象，并辅以360特色的浏览器地址铭牌认证支持。同时，360安全浏览器还为用户安装“银联在线支付”网站安全控件，提供方便、快捷的一键智能安装与升级服务。专为“银联在线支付”用户打造的定制版浏览器也将在不久后正式发布。　　使用360网购保镖的用户在进入“银联在线支付”的交易页面时，360网购保镖还会自动扫描电脑运行的所有程序，一旦发现可疑或安全等级未知的程序将提示禁止运行，直至用户完成交易退出网页，全程保护网购安全。　　此外，360还将与中国银联建立反钓鱼、反欺诈的快速绿色解决通道，使“银联在线支付”用户能够享受360提供的7X24小时的恶意钓鱼、恶意欺诈提醒和拦截服务。　　毋庸置疑，360与“银联在线支付”联合推出的网络支付安全解决方案，将为用户在国庆黄金周提供更加方便、高效与安全的网络消费体验，使人们在开心购物时，个人的资产安全也高枕无忧。当前位置： && 知识详情
浅谈互联网公司业务安全
来源：drops.wooyun.org
阅读：2015次
0x00 我理解的业务安全业务安全,按照百度百科的解释:业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。我的理解:某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程,而业务安全就是保证这些流程按照预定的规则运行。0x01 通用业务及威胁由于互联网企业的特性,其主要业务直接体现在其平台上。其中有不少通用的业务流程:1.账号体系A.注册B.登录C.密码找回D.用户信息存储2.其他具体业务A.购买/支付B.优惠活动C.抢购活动D.…来看看分别有哪些威胁:1.对于账号体系:A.恶意用户批量注册账号B.撞库(账号安全)C.批量重置用户账号,威胁其他用户账号2.其他具体业务A.恶意订单(下单未支付)B.低价购买C.批量刷优惠券&其他奖励D.抢购E.窃取其他用户优惠券F.购买限制(购买数量限制/未开放购买商品限制/特殊用户商品限制)G.价格爬虫H.作弊I.黄牛限制J.垃圾信息(用户欺诈)K.交易风控(交易限额/交易信息/用户支付信息)L.信息泄露(未开放业务上线)M.黑色产业N.虚假交易(刷信用/套现)O.…从上面的一些威胁可以看出,账号体系安全是其他业务的基础,与许多业务直接相关。0x02 部分威胁解决方案可以从两个方面寻找不同的解决方案:1.从技术上看A.账号体系a.注册限制:通过图片验证码、短信验证码、邮件验证码等增加批量注册的成本收集注册用户数据,分析注册后用户的行为。通过对比正常用户与马甲用户的行为、指纹等,标识马甲用户。或冻结没有行为的账户b.登录:将分散的登录入口统一,防止由于遗漏而造成撞库增加图片验证码等人机识别方式,防止登录撞库限制账号登录频率以及次数通过数据分析用户登录趋势图,区分不用时间用户尝试登陆曲线、用户登录失败曲线、用户登录成功曲线,可以在发生撞库行为时做到及时响应提示高危账号进行密码修改(登录后推送)建立用户价值体系,通过用户记录、信用、行为等不同维度数据建立用户价值体系c.密码找回优化密码找回逻辑,防止逻辑错误对返回用户信息进行脱敏处理通过数据分析用户重置密码趋势图,可以在发生批量用户密码重置时做到及时响应d.用户信息存储例子: 对用户信息进行加盐哈希等处理B.其他具体业务a.恶意订单通过用户成功下单、支付等建立维度,冻结不符合规范的账号,或在某段时间内限制其下单b.低价购买&购买限制验证购买/支付流程,后台增加校验机制c.批量刷优惠券&其他奖励&其他用户优惠券例子:绑定优惠券与账号,限制单个号码/账号获取的优惠券数量对于批量注册马甲账号的行为可以通过账号体系进行限制调整奖励规则(现金变成券),增加使用成本(绑定身份证、银行卡)d.抢购&黄牛纵深防御,从账号体系开始购买过程中,增加人机识别,加大恶意抢购成本增加黄牛检测机制,通过收货地址、账号、订单数量、手机号码、收货人等不同维度检测黄牛账号过滤从其他维度获取的黄牛账号白名单用户直接通过黄牛验证将付款后异常退款加入加入黑名单,标识账号、收货地址为黄牛账号e.价格爬虫&信息泄露规范业务上线流程,防止未开放业务上线增加反爬虫机制,对访问来源进行限制f.垃圾信息(用户欺诈)例子: 处理这类风险较复杂,可以从用户行为特征、用户账号信任评级加以区分同时开启用户举报功能g.交易风控例子:合规性检查,符合《银联卡收单机构账户信息安全管理标准》h.黑色产业分析具体业务,找出攻击者获利点建立黑名单共享联盟,将恶意的IP、用户ID、邮箱地址、手机号码等列入黑名单在上面的部分中,可以对用户行为进行分析、建模,例如:A.正常用户的流程/记录为:注册—&登录—&查询—&下单—&支付—&查看订单—&收货B.异常用户的流程/记录为:注册—&登录—&领取优惠券还可以对日志进行实时分析:A.url深度(单斜杆出现次数)B.访问离散度(页面数/访问次数)C.200响应比例D.用户访问入口2.从流程上看A.项目立项风控、安全测试介入业务评审、评估业务风险点业务上线前经过安全测试,包括传统安全、业务接口、业务逻辑、黑白盒测试B.业务数据实时监控C.异常事件介入分析通过数据实时分析,确定当前数据是否符合预期D.业务规则动态调整当出现非预期的状况时,适当调整、优化规则E.止损控制当业务从需求上无法控制时,就要降低损失比例,减少业务损失F.业务隔离隔离重要业务与风险业务,使其单独运行0x03 业务安全挖掘思路要挖掘业务漏洞,需要先了解业务逻辑(业务类型/流程),评估风险点。在业务流程中列出正常访问与异常访问区别,分析攻击者的目的及获利方式,对症下药,同时还要排除传统安全威胁。推荐: &附(引用):企业安全建设与账号体系.pdf安全平台建设与业务安全.pdf
本文转载自 drops.wooyun.org
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]