我们SINE安全前段时间收到客户的委托，对客户的APP进行渗透测试，发现存在薅羊毛漏洞

，导致批量注册获取新用户的福利，在APP未上线之前一定要做渗透测试服务，及时的发现漏洞

，避免上线后产生较大的经济损失，客户是做生鲜配送的几乎为地区物流配货，应用虚拟物品和

线下产品流量变现相对性不太简单，长远看来“代下”将是首要的安全风险和难题。针对生鲜配送

主题活动的特性及其黑产攻击具体步骤的特性，可从下列很多个层面提高攻击门坎，总体抑制攻

击的数量级。

 

 

1、模糊不清判黑信号，在关键分歧点周边受限，放开别的具体步骤连接点的受限：代下情景的

风险规避总体目标是，降低撸羊毛开挂耗损新手褔利。核心内容是受限撸羊毛“用券”，那麼除应

用电子优惠券之外的具体步骤能够仅鉴别标识不受限。如，在账号申请阶段，系统软件根据手

机号码、lP信誉度库静态数据标准配对，判断为高风险做恶，但容许其申请注册，乃至下发新手

电子优惠券，并容许其支付购买商品，但在自动跳转至支付时提示账户出现异常不允许应用电子

优惠券，仅能够立即提交订单。类似于那样的作法益处有二：

 

 

（1）提高了网络攻击的实验周期时间及复杂性，到支付阶段截止攻击同伙早已应用了黑卡网络

资源、lP网络资源、改机网络资源及其代支付账户网络资源等很多个仿冒账户主要用途的非自

然人网络资源，攻击同伙没法断定出是哪一个阶段被鉴别，乃至可能是很多个阶段被鉴别判黑，

实验难度系数和复杂性上升，且一次实验的具体步骤被变长，实验全过程中也必须耗损有关网

络资源，提高了实验成本费用；
 

（2）与此同时我们可以搜集多维度的黑数据信息。如，我们都是在申请注册阶段根据手机号

码和lP鉴别标识安全风险的，但我们可以在剩下具体步骤阶段中搜集别的层面的虚假数据信息，

如试着获取虚假代支付账户特点、虚假设备指纹特点等，用以系统优化当今的鉴别预案及其总

结全过程中鉴别大量灰黑色数据流量。
 

2、模糊不清判黑因素：针对非客户有关的出现异常提示，尽可能模糊不清因素，防止黑产立

即精准定位到难题网络资源，包括错误提示的标语，及其一致的认证方法，如针对某一阶段出

现异常一致规定手机语音认证等，可融合第一条，认证置后。
 

3、融合黑产网络资源特点拉升攻击成本费用：手机号码，申请注册和事后认证采用不一样方法

，1个手机语音，1个手机信息。
 

二次验证：基本方式的黑卡熟练掌握在短信验证平台的发卡平台手上，在线的时间任意（智能

手机黑卡供应链管理的赢利状况是：发卡平台根据4g猫池机器设备一致管控电话卡收取和发送

手机信息，4g猫池机器设备总数是比较有限，一大批卡源占据比较有限的4g猫池服务器端口，

伴随着时间流逝，能够申请注册的网络平台将慢慢降低，而发卡平台与短信验证平台是根据新

项目数量[手机号码用以申请注册某网络平台，则称某新项目，新项目总数即这一类卡申请注

册的网络平台数量]清算的，可申请注册的新项目总数会立即影响到发卡平台的盈利，故卡商会

根据反复补卡，让手上的卡源轮着线上来做到盈利利润最大化，这就是撸羊毛申请注册后有时

候没法再一次取到同样手机号码短信验证码的因素，该电话卡那时候沒有插进4g猫池。），若

网络平台规定再一次验证手机号，伴随着时间的推进（间距初次申请注册），撸羊毛有三十%

~六十%之上的几率没法再一次收到同样手机号码的短信验证码，账户废止率很高。针对申请

注册做恶正中间有微信养号阶段及其针对固定不动时间大中型营销活动的囤号，可运用此特点

，对攻击同伙产生很大的账户耗损。如果不知道自己的APP以及网站是否存在薅羊毛的漏洞，

可以找专业的网站安全公司来进行检测，提早发现漏洞，避免重大的经济损失。国内做的比较

专业的有以下几个，SINESAFE,绿盟，鹰盾安全，启明星辰，山石网科等等。