从拼多多媷羊毛事件谈网站的安全性问题的重要性

近几天比较热门的新闻是，拼多多被薅羊毛，什么是媷羊毛呢?
本意“薅羊毛”是沿袭春晚小品中白云大妈的“薅羊毛织毛衣”的做法。现在的意义已完全改变：对各类商家开展的一些优惠活动在网络上广为流传，这种行为被称作薅羊毛。“羊毛党”已经成为很多商家眼里打不死的小强，用机器注册、批量注册手机号等方式套取利益。
拼多多被薅200亿确实过于夸张，但是1千万损失还是有的，而且冻结了部分订单，也会对用户产生部分不好影响。可见其影响还是非常严重的。

究其原因，还是安全做的不到位，出现优惠券的漏洞，其实这些漏洞在普通B2C商城网站都很少出现，没想到在一个上市公司里出现，而且还是核心的主营业务里，实在令广大程序员惊讶。

那么作为一个商城，如何避免发生类似事情呢？

1、从业务逻辑上控制，比如优惠券设置发放数量限制、优惠券消费总额限制，在优惠券来源上进行甄别。

2、系统设置专门的风控中心，实时监控下单情况、支付情况、优惠券使用情况等数据。

3、程序代码上严加审核，避免出现漏洞。

4、成立一个专门负责风控的团队，负责整体掌控，协调负责。

5、设置多套机制防止。

6、从程序上避免机器注册。

7、设置安全预警，当优惠券使用数量超过多少时、订单支付金额超过多少时，通知主要负责人员进行审查，出现问题及时制止和纠正。

8、不要让网站核心数据只掌握在一个人手中，近来网络上还流传一个公司耗资500万开发一款软件，关键发布时刻，核心人员锁死服务器导致项目失败，然整个公司倒闭。