社區產品那點事兒 —— 垃圾帖與產品安全策略

時間 2019-11-17

原文原文鏈接

前言：作產品，安全問題是一個不能不考慮的問題，稍有不慎就會發生相似「薅羊毛」「信息被盜」等問題。不少時候咱們都在尋求技術方面的解決方案，但其實有一些簡單的產品策略，也能夠從必定程度上減小安全問題的發生。今天會從以前遇到過的社區「垃圾帖」問題入手，探討產品設計層面上對於安全問題的緩解辦法。web

問題

在作社區產品時，常常會遇到不少的垃圾內容，較爲常見的是一類包含色情信息、外鏈引流信息的內容。這種內容不少都是大面積批量發出，單純靠人工刪除遠遠跟不上發佈的速度，致使整個社區中充斥着這類違規內容，不只影響用戶體驗，還會存在法規上的風險。 shell

採集這些垃圾帖的內容和發佈用戶信息後，發現這些垃圾內容有如下一些特徵：數據庫

能夠看出這些特徵中有以下一些共性：安全

不難發現，整個垃圾內容發佈的流程中存在兩個重要節點：用戶帳號批量註冊和垃圾內容發佈，所以考慮從這兩個節點入手解決。服務器

1. 針對帳號體系微信

2. 針對內容發佈post

增長了這些限制，上線以後，不少的問題暴露了出來：優化

因此先前的策略起到了必定的效果，可是看起來「得不償失」。這種狀況應該如何應對呢？細化規則。網站

以前的策略之因此存在問題，是由於未能作到更細粒度的針對，「寧錯一千不漏一個」。所以要想解決這個問題，最好的辦法就是細化攔截規則。設計

1. 針對驗證碼：

2. 針對關鍵詞過濾：

疑問：爲何要在不相關的社區發佈色情信息呢？批量註冊新用戶是怎麼作到的，哪裏來的這麼多手機號？老用戶的帳號信息是如何被盜取？......

出於 SEO 考慮，不少色情內容或者網站爲了引流，會在高權重的網站內發佈相關內容，用戶在搜索時相關的內容即會優先展現，因此有專門的工做室承接垃圾內容的推廣。
首先不少網站註冊時不要求用戶輸入手機號，所以能夠經過註冊機，直接經過 post 請求與服務器交互，就能夠完成批量註冊；若是是須要手機號的註冊，則能夠經過灰色產業購入不帶有身份信息的「黑卡」，成本低，投入產出可觀。
若自己站點用戶登陸時密碼傳輸校驗正常、token 未被破解或劫持，則很大可能用戶信息泄露爲「撞庫」致使。所謂撞庫，簡單來講就是非法入侵者經過技術手段（漏洞注入、webshell，etc.）或者獲取已有社工庫，創建一個較爲完整的數據庫後，嘗試用這些庫中的信息去登陸其餘系統。通常因爲前期數據採集較爲詳實，撞庫所用的字典精度比暴力破解的高，所以成功率也會高。