京东安全第一人讲述：如何保卫 618 | 深度

本篇文章3805字，读完约10分钟

如果你是京东的新员工，你应该小心。

当你打开自己企业的bbs，你可能会看到一个帖子，暗示你可以通过点击获得京东的内部好处。

当您在工作邮箱中收到一封电子邮件时，它会告诉您密码已过期，您需要用旧密码重置它。

是的，你遇到了一个骗子。你登录了一个虚假的“钓鱼网站”，并把信息泄露给了一个骗子。然而，就在这时，剧情被华丽地逆转了，而这个“骗子”实际上是京东自己的安保部门。如果你不幸上当，你将被关在一个“小黑屋”，接受“安全再教育”。

所以“钓鱼执法”是如此血腥，人们都想哭。常言道:“你一旦进入京东，它就像大海一样深，从那以后，坏习惯是可以改变的。”这些“钓鱼执法”的发明者是京东安保第一人、京东安保应急中心jsrc的老板李学庆。

[京东应急安全中心李学庆负责人]

黑客衙门:jsrc和它自己的员工当然不是jsrc的全部任务。作为一个安全应急中心，像腾讯的tsrc、百度的bsrc和阿里巴巴的asrc一样，京东的jsrc有一个主要任务——堵住所有可能造成损害的漏洞。

形象地说，JD.com就像一艘在深海中航行的游轮，油漆从船上脱落，船舱腐蚀时有发生。jsrc就像一个工程团队在一艘巨轮上来回穿梭，不断地对它进行维修，以确保这个网络世界中的百货公司从里到外都是平稳的。

如果你是一个黑客，确切地说，是一个白帽黑客，你研究的任何可以攻击京东的漏洞都可以通过jsrc提交给京东。你能得到的将是非常丰厚的奖励，比如价值1000元的京东购物卡。

严重漏洞1天，高风险漏洞3天，中等风险漏洞7天，低风险漏洞14天。这是我们修复不同漏洞的时候了。

李学庆告诉雷锋。根据白帽提交的不同漏洞等级，他们将获得相应的奖励，而在重大促销或节假日前夕，为了充分保证系统的正常运行，将会有双倍的奖励。“比如今年6.18之前，我们搞了一个双点活动，白帽子提交了一个高风险漏洞，最高奖励相当于12000元。”

对于同样是白帽黑客的李学庆来说，jsrc更像是京东与黑客交流的茶馆。他带领30多名密切关注京东的黑客组成了一个核心白帽小组，该小组不仅经常交流他们发现的漏洞的细节，还定期邀请行业牛人进行技术讲座。

这些游戏是在他经历了血的教训后才学会的。从某种程度上来说，“黑客江湖”是大公司“政府与公众”不可忽视的力量，因为侠客往往能激起不可忽视的巨浪。

早在2011年jsrc成立之前。刚刚加入京东的李学庆遭遇了一场危机。这就是当时业界关注的京东用户信息泄露事件。

当时，由于JD.com没有像jsrc这样专门处理漏洞的部门，一个白帽子在漏洞平台的黑云上贴出了JD.com的漏洞，声称所有用户信息都是他获取的。事实上，只有少数数据泄露，但很快被媒体放大了。李学庆回忆起当时的情况:因为信任的基础没有建立，所有的意图都变得模糊不清。最终，双方变得敌对，一场艰难的对话变成了赤裸裸的威胁。“对方开出了天价，否则就不会向我们透露漏洞的细节。在这种情况下，京东不得不求助于警方。”

这种冲突对京东和黑客江湖都非常不利。这也使李学庆坚定地推动建立“总理的黑客衙门”jsrc。

jsrc的每个成员对应京东的一个业务线。一旦漏洞被确认，我们会留意有关部门“缝渔网”。

因为没有办法衡量安全性的损失。

李学庆说，对于高风险漏洞，如果有商业和安全之争，就必须先处理安全问题，没有谈判的余地。"这个过程是一个经过行政人员讨论后形成的刚性系统."

[京东内部漏洞响应系统(敏感内容已被残酷编码)]

京东“怕什么”？jsrc成立至今已有五年时间。今天，京东的业务线安全已经拥有了标准的防御力量，即使偶尔发现真正危险的漏洞，它们也会在同一天被修复。然而，作为电子商务，京东实际上面临着一些特殊的威胁:

用“大树招风”来形容这种一线电子商务更为恰当。无可奈何地说，骗子们使用的手段并不高明，但他们冒充京东客服打电话给用户进行欺诈，或者伪造一个类似京东的钓鱼网站来骗用户的钱。

当然，这些诈骗的前提是诈骗者应该掌握用户的登录密码和个人信息。李学庆告诉雷锋。com(搜索“雷锋。据他掌握的信息显示，近年来京东没有大规模的用户信息泄露。然而，JD.com仍然感受到压力，因为其他平台不断泄露用户信息。通过“撞入图书馆”，许多黑色产品仍然可以获得一些京东用户的登录密码。

如果一个ip经常登录到不同的帐户，并多次失败，这是一个明显的库冲突行为。

每个登录设备都有一个设备指纹。如果一个帐户之前使用iphone登录，然后突然登录到安卓手机，并且ip不在一个常见的地方，系统可能会启动防止黑客攻击的过程。

如果用户登录京东后没有选择商品，而是立即使用余额或北京券和东方券，这也是一个非常可疑的行为。"

这些是jsrc针对黑色产品的一些举措。

用户数据是京东的“第一机密”，所以所有敏感数据在网络传输过程中都会被编码，即处于“* * *”状态。当然，仍有许多情况下，服务需要请求完整的信息，如“姓名、电话号码、电子邮件地址”等。此时，有必要限制请求的频率。

当然，一个有效的系统还必须对内部人员有完全的权利限制。

当市场部做活动时，它经常提取一些用户的数据并抽取奖品。此时，我们将在信息中附加一些“关键值”。通过此操作，我们可以记录信息的使用时间、使用级别和负责人。并且该密钥具有有效期，例如，一个月，在此之后用户信息不能被读出。这样，即使有信息泄露，你也可以追查源头，找到责任人。

数据库安全事实上，所有用户的数据都存储在京东服务器的数据库中。一旦这些数据被盗，那将是一场灾难。然而，业界对于数据库安全有一些成熟的操作方法。例如，所有的数据都是高度加密的，即使它们是通过层层防御获得的，也没有办法破译它们。

不久前，受到媒体关注的领英用户数据库泄露，因为他们没有在数据中“加盐”(加密和混淆)，所以扎克伯格的推特账户被破解。

[2014年生产的京东第二杀手]

几年前，毛党与第二杀手猖獗，重点在京东做促销秒杀活动。到时候，我们会专门混进这些“杀京东”的团伙，甚至花钱买他们卖的第二个杀手来研究和阻止恶意攻击。

近年来，反尖峰技术已经成熟，这种威胁已经减少。李学庆告诉雷锋。jsrc也将获得一些有针对性的威胁信息，这样它就可以在敌人攻击之前建造“防御工事”。

“我对我们的技术研发体系还是比较有信心的。”李学庆说:“因为每一次大的推广，我们都会做很多准备工作，包括商业应变能力，双倍积分来鼓励白帽子寻找漏洞和收集威胁情报。”

“所以这次618，我们还是比较冷静的。”

618平静并不意味着jsrc童鞋可以高高地挂在北窗。李学庆说。

在这次“618电商节”之前，我们用京东以前的漏洞检查了站内所有幸存的ip。我们的一个小兄弟在手动检测新业务时发现了一个注入点，这可能会窃取数据。在与企业沟通之后，我们最终发现这个项目中有六七个代码问题。那天是星期五，我们加班解决了这个问题。

在6月18日之前的一次反白帽运动中，虽然有诱人的双倍积分奖励，但很多高级白帽只发现了两三个威胁性的漏洞或越权漏洞，这让他觉得京东的安全有了保障。

尽管整体安全，李学庆的日常活动是带领他的兄弟们协调各个部门去修补无数的小漏洞。

例如，几天前，我们在web端发现了一个跨站点漏洞，并协调开发部门解决了这个问题。然而，我们没有意识到这个问题也存在于移动应用方面。我们没有解决问题，直到手机也爆发了。

当然，这次是618，扒手没有意识到京东的安全有问题。jsrc的所有任务都是使用7*24小时待机，让用户感觉不存在。李学庆觉得这是一个安全官员的职业精神。

[2014 618，刘客人快递送达]

黑客的“魔鬼训练”使京东的所有同事学会“安全工作”，这是李学庆的职责。如文章开头所述，“渔业执法”是他教育同事的方法之一。

此外，他还给成千上万的同事做了安全讲座。

2011年，我在舞台上教了所有员工设置密码的技巧，告诉他们什么样的密码是复杂而强大的。

例如，程可以用他妻子名字的缩写(前提是他有妻子)加上前后括号，然后加上一个像520这样的自白组成一个强密码。此外，你还可以写诗，如中午锄地，这是充满了混合的情况。

当时，人们很兴奋，回去更改他们的密码。几天后，我接到几个电话:“李先生，我忘记密码了。”帮帮我。。”.

然而，仍然有一些人无论如何不改变内部网的登录密码，即使李学庆反复教导他们，他们仍然是“顽固的”。

他没有改，所以我不得不帮他改。在调查过程中，我用常用的密码字典跑进数据库，发现了一些弱密码。我从远程位置直接改变了他的桌面，显示你的电脑被黑了。

被一个“黑人”同事激怒真的很害怕。。。"

这是黑客李学庆的“魔鬼训练”。虽然他的目标不是让每个人都成为一顶白帽子，但至少每个人都应该有安全感。也许这种“黑”同事的恶作剧是他心目中最好的教育方法。

事实上，2011年的“信息泄露”风暴明显推动了jsrc的成立。提起这件事，李学庆仍然感慨万千。

我相信所有的白帽子，他们的初衷是帮助京东。现在，由于jsrc的存在，京东和白帽的对峙局面不应该再发生了。

他的逻辑很简单:因为朋友以朋友的方式处理问题。

Jsrc已经成立了四年，联合了30多个核心白帽。他们在守护代码海洋中的“巨轮”——京东。

安全绝非儿戏，而是与实弹的对抗。像其他电子商务一样，JD.com面临许多战斗。对李学庆和jsrc来说，他们的使命就在这里。