阿里的反黑實(shí)力究竟有多強(qiáng)？不知道多少人還對(duì)16年的阿里月餅門有印象。

當(dāng)時(shí)阿里內(nèi)部搞月餅搶購活動(dòng)，弄了一個(gè)臨時(shí)的內(nèi)部預(yù)定頁面，結(jié)果被自家?guī)讉�(gè)程序員破解，用腳本多刷了124盒月餅。事件經(jīng)過輿論發(fā)酵后，阿里最終以維護(hù)企業(yè)文化的名義將涉事程序員開除。

其實(shí)呢，這種事情可大可小，自家員工多刷了點(diǎn)月餅，有人覺得無傷大雅，況且人才比月餅值錢多了，開除未免得不償失，小題大做；也有人覺得，這就是原則性的問題，涉事程序員是企業(yè)內(nèi)部的不穩(wěn)定因素，是挑戰(zhàn)權(quán)威，如果姑息，社會(huì)大眾會(huì)認(rèn)為阿里就是個(gè)隨便沒章法的企業(yè)，所以阿里殺雞給猴看無可厚非，就是要讓大眾放心，阿里在月餅這種小事上都不馬虎，所以用戶的利益一定也會(huì)得到最高級(jí)別的重視和保障。

這件事還有一個(gè)很耐人尋味的細(xì)節(jié)，堪稱當(dāng)代的“揮淚斬馬謖”。涉事的一共五人，除了四名程序員，還有阿里一名P8級(jí)的高級(jí)專家，是國內(nèi)安全攻防領(lǐng)域前三的人。

所以，我們可以從中得出兩點(diǎn)結(jié)論：

一、不管是否出于公關(guān)，阿里的反黑態(tài)度確實(shí)十分強(qiáng)硬。

二、阿里人才濟(jì)濟(jì)，臥虎藏龍，反黑能力絕對(duì)不弱。

事實(shí)上，阿里的反黑能力早就已經(jīng)到了國家級(jí)別，這從阿里與各地公安進(jìn)行警企合作就能看出來。

不過俗話說得好，樹大招風(fēng)，阿里也確實(shí)遭受過黑客的攻擊。16年的雙十二，阿里的安全工程師就和國際上的頂級(jí)黑客進(jìn)行了一場殊死搏斗，阿里最終守住了交易環(huán)節(jié)的系統(tǒng)安全。

樹大招風(fēng)的同時(shí)，根基也必定足夠深，阿里本身的防御實(shí)力擺在那，不是隨便就能被撼動(dòng)的，即使出了點(diǎn)幺蛾子，他們也有足夠的恢復(fù)力，用戶甚至都察覺不到自己賬戶出過什么問題，在我們交易的那幾秒，甚至是幾十毫秒之間，阿里已經(jīng)做完了幾百項(xiàng)的安全檢測(cè)。

再者，阿里錢那么多，如果是為了錢，黑客完全可以招安啊對(duì)不對(duì)，就算不為錢，只是為了技術(shù)上的成就感，那也要掂量掂量法律上的后果，畢竟阿里是和銀行一個(gè)重量級(jí)的，篡改用戶余額是觸及刑法的，和一般的網(wǎng)絡(luò)犯罪不一樣，那么多公司可以敲詐（三觀不正），非要招惹支付寶，活著不好嗎朋友?

更多優(yōu)質(zhì)內(nèi)容，請(qǐng)持續(xù)關(guān)注鎂客網(wǎng)~~

支付寶是目前我國使用最多的第三方移動(dòng)支付之一，目前很多人轉(zhuǎn)賬、消費(fèi)、支付都是通過支付寶來進(jìn)行，支付寶也成為了很多人日常生活當(dāng)中必不可少的一個(gè)工具。

因?yàn)橹Ц秾氂猛颈容^廣泛，所以很多人都會(huì)把錢放在支付寶上，看到這很多人都可能關(guān)心，既然支付寶上有這么多錢，用途這么多，為什么沒有黑客不去修改支付寶上面的余額呢？

實(shí)際上全球有很多黑客每天都在攻擊支付寶，畢竟支付寶用戶量非常多，一旦能夠攻擊成功了就能夠賺到不少錢，而且即便有些黑客不想賺錢，但如果能夠成功突破支付寶的防線，那也是一個(gè)相當(dāng)了不起的成就，到時(shí)他在全球都有可能出名。

所以出于各種目的，實(shí)際上每天都有很多黑客攻擊支付寶，之前馬云曾經(jīng)說過，阿里巴巴每天都收到來自全球各地上億次的攻擊。

但是阿里巴巴從成立到今，他們并沒有出現(xiàn)什么大的安全事故，即便每天有無數(shù)個(gè)黑客在想方設(shè)法攻擊阿里巴巴以及支付寶，但是并沒有人能夠攻破他們的防線。

而支付寶的安全防線之所以固若金湯，主要有幾個(gè)方面的原因：

第一、強(qiáng)大的技術(shù)團(tuán)隊(duì)。

阿里巴巴擁有全球最強(qiáng)大的安全技術(shù)團(tuán)隊(duì)之一，這些技術(shù)團(tuán)隊(duì)都是各個(gè)領(lǐng)域頂尖的人物。

在阿里巴巴技術(shù)安全團(tuán)隊(duì)當(dāng)中，既有互聯(lián)網(wǎng)安全領(lǐng)域的大牛，也有一些全球超級(jí)黑客，還有從事多年網(wǎng)絡(luò)安全工作的公安人員，這些人在行業(yè)內(nèi)都有多年從事經(jīng)驗(yàn)，而且技術(shù)相當(dāng)了得，所以由他們構(gòu)成的技術(shù)安全團(tuán)隊(duì)是非常牛的。

而且在現(xiàn)實(shí)當(dāng)中，如果阿里巴巴發(fā)現(xiàn)比較牛的黑客，他們也會(huì)重金把他們招到名下，比如目前阿里巴巴安全團(tuán)隊(duì)的負(fù)責(zé)人曾經(jīng)就差點(diǎn)攻破阿里巴巴的系統(tǒng)，結(jié)果馬云就重金把他挖過來了。

由此可見，目前在阿里巴巴安全團(tuán)隊(duì)當(dāng)中，有很多人都有可能是那些網(wǎng)絡(luò)黑客的師傅，對(duì)這些黑客的攻擊道路他們都已經(jīng)摸得一清二楚，所以想要攻擊支付寶的安全防線太難了。

第二、強(qiáng)大的監(jiān)控系統(tǒng)。

目前阿里巴巴內(nèi)部已經(jīng)建立起了完善的安全監(jiān)控系統(tǒng)，這個(gè)安全監(jiān)控系統(tǒng)24小時(shí)監(jiān)控著阿里巴巴旗下所有產(chǎn)品的一舉一動(dòng)，以及用戶賬戶的一舉一動(dòng)，一旦系統(tǒng)識(shí)別到異常情況之后，就馬上報(bào)警。

報(bào)警之后，阿里巴巴的安全團(tuán)隊(duì)馬上就會(huì)根據(jù)這些信息進(jìn)行布防，所以黑客在攻擊的時(shí)候還沒邁出一步，就有可能被阿里巴巴團(tuán)隊(duì)給堵上了。

比如之前阿里巴巴就曾經(jīng)邀請(qǐng)一些團(tuán)隊(duì)對(duì)支付寶進(jìn)行攻擊，如果能夠成功攻破支付寶賬戶并把錢轉(zhuǎn)走就算成功，其中有一個(gè)團(tuán)隊(duì)成功登錄了支付寶賬戶，但是當(dāng)他們想把錢轉(zhuǎn)走的時(shí)候，系統(tǒng)卻判斷登錄屬于異常，所以直接拒絕轉(zhuǎn)賬交易。

第三、越攻擊越完善。

對(duì)于阿里巴巴來說，他們有龐大的用戶量，還有龐大的資金，所以每時(shí)每刻都受到攻擊，但是對(duì)于支付寶來說，這些黑客越攻擊他們的安全防線會(huì)越牢固，因?yàn)楹诳凸�擊之后，支付寶就知道漏洞在哪里，然后他們不斷地把漏洞補(bǔ)上，結(jié)果黑客能夠抓住的漏洞越來越少，這樣黑客想攻破支付寶的安全防線就難上加難了。

總之，支付寶作為全球最大的互聯(lián)網(wǎng)企業(yè)之一，他們能夠在十幾年的時(shí)間里安全運(yùn)行，說明他們還是有兩把刷子的，所以即便有黑客想打支付寶的主意，也不可能得逞的。

修改余額最麻煩，余額不是一個(gè)字段，而是一筆筆往來進(jìn)行加減計(jì)算出來的，比如你從銀行轉(zhuǎn)了1000,然后淘寶買東西花了500,實(shí)體店消費(fèi)了400，別人還錢通過支付寶轉(zhuǎn)了你100。那通過這一筆筆往來計(jì)算出你支付寶里還有200，現(xiàn)在你想改成1萬。需要怎么做呢。首先黑入支付寶的服務(wù)器，并有DBA權(quán)限，而且你還要對(duì)支付寶的表結(jié)構(gòu)非常清楚。這基本已經(jīng)非常不可能了，能做到的只有內(nèi)部資深工程師，因?yàn)楹诳妥疃嘀荒苋肭忠约叭〉肈BA權(quán)限。但他不可能對(duì)個(gè)不了解的系統(tǒng)表結(jié)構(gòu)非常清楚。就算清楚，余額不能直接修改，只能增加條往來記錄調(diào)整。增加余額，無非就是增加一條轉(zhuǎn)入的記錄，轉(zhuǎn)入無非銀行轉(zhuǎn)入或其他賬戶轉(zhuǎn)入。支付寶和銀行是通過接口進(jìn)行的，銀行通過接口傳給支付寶，這個(gè)賬戶轉(zhuǎn)入了1萬，就形成了一條記錄，你在支付寶單方面增加這條記錄，但接口銀行是沒有調(diào)用的。核對(duì)下就會(huì)發(fā)現(xiàn)。除非你還要黑銀行（銀行余額同理）。那從其他地方轉(zhuǎn)入，那你就得找到個(gè)余額大于1萬的賬戶（小于馬上系統(tǒng)就報(bào)錯(cuò)了），增加一條該賬戶轉(zhuǎn)入你賬戶的信息。既然你都黑到一個(gè)賬戶了，干嘛這么麻煩轉(zhuǎn)錢給自己，還不如直接用他賬戶消費(fèi)。

另外種方法就是修改歷史的交易記錄，比如，你今天消費(fèi)了1萬，把改交易記錄調(diào)整為1元。但這個(gè)工作同樣麻煩，你單方面修改了，人家余額就只增加了1元。人家開始是收入了1萬的，可能這1萬又花出去或者轉(zhuǎn)出銀行了，這樣你就要跟著這條記錄一直調(diào)整下去。何況支付寶肯定有某種記錄保障手段。

總之修改余額，不如黑別人賬戶，或者刪除所有信息簡單，黑人家賬戶，你轉(zhuǎn)出了錢只會(huì)到別人卡上，修改人家卡，會(huì)有短信，你還要連著手機(jī)運(yùn)營商一起黑。用人家卡消費(fèi)，很容易人家就發(fā)現(xiàn)了。你收不貨?

所以就算是有黑客進(jìn)入支付寶系統(tǒng)，并取得了最高的系統(tǒng)及數(shù)據(jù)庫權(quán)限。能做的，只能刪除所有信息，但阿里肯定是有極快的還原技術(shù)手段，就是是杭州地震，服務(wù)器壞了，其他地區(qū)服務(wù)器馬上代替工作的。

作為一個(gè)工作多年的老程序員，曾做過信息安全系統(tǒng)，也搞過破解，逆向等工作，技術(shù)方面破解之難大家都說了很多了，我從投入和回報(bào)角度分析一下：

當(dāng)年因?yàn)榕d趣我還破解了不少軟件，可近些年我都不干這些事了，為什么呢？破解并不是外人所想的那么簡單，我想破解什么，幾分鐘或者1小時(shí)搞定。破解是一個(gè)尋找漏洞和突破作者設(shè)置的層層障礙的一個(gè)過程，在破解之前你不知道要花費(fèi)多少時(shí)間和精力，隨著你投入的時(shí)間越多，你破解的耐心會(huì)被逐漸消磨掉。程序員一個(gè)工作日的工資按照500元計(jì)算，你破解兩天等于花了1000塊錢，而你買這個(gè)軟件才100多塊錢，這是很不劃算的。這兩天的時(shí)間你可以去接個(gè)私活干干，掙1000塊錢，然后買這個(gè)軟件，還剩下800多，所以你還會(huì)去破解嗎？之前有朋友一直問我要免費(fèi)看VIP視頻的方法，我說我沒時(shí)間研究，花大量的時(shí)間研究，不如直接沖會(huì)員更省錢，因?yàn)閷?duì)于程序員來說，投入時(shí)間就是投入錢，同樣的時(shí)間可以去干別的活掙錢。玩網(wǎng)游也是同樣的道理，天天費(fèi)時(shí)間刷怪升級(jí)，我不如花時(shí)間掙錢，然后買個(gè)號(hào)更省事。

回到支付寶這個(gè)問題，對(duì)于如此復(fù)雜的系統(tǒng)，尋找漏洞可能要花上一年的時(shí)間，而掙不到1分錢，這個(gè)風(fēng)險(xiǎn)代價(jià)是很大的，很難有人有如此大的魄力，不吃不喝也要跟支付寶過不去吧。再者，如果真的能突破支付寶的層層防御而不被發(fā)現(xiàn)，以這個(gè)人的技術(shù)能力年薪100萬以上，為什么要冒犯罪的風(fēng)險(xiǎn)呢？

支付寶從 2003 年誕生至今，存在里面的巨額金錢已經(jīng)可以和各大銀行相媲美了。那既然支付寶這么多錢，為什么沒有黑客修改支付寶上面的余額呢？

想要修改支付寶上面的余額，首先要做的就是攻克支付寶，而攻克支付寶在技術(shù)上肯定是可行的。但是為什么沒有黑客攻克支付寶并修改上面的余額呢？

首先，攻克支付寶在技術(shù)上市可行的，只是沒有黑客能攻破而已。阿里的數(shù)據(jù)表明，支付寶時(shí)刻都在被攻擊，平均每天受到 16 萬次的攻擊，但基本沒有被攻破過。很多人可能覺得，只有百度騰訊才是做技術(shù)的，其實(shí)，阿里的技術(shù)不比百度騰訊差到哪里去，相反，阿里的技術(shù)甚至強(qiáng)于百度騰訊。

而且，攻擊支付寶相當(dāng)于攻擊銀行，性質(zhì)非常嚴(yán)重。攻破支付寶并修改里面的錢，某種程度上來說相當(dāng)于搶劫銀行，搶劫銀行是什么性質(zhì)的犯罪，想必大家都心知肚明了。

倘若支付寶被攻破，那么以阿里支付寶的技術(shù)，這些黑客絕對(duì)可以別監(jiān)控到，最終結(jié)果估計(jì)只能鋃鐺入獄了。因此大部分黑客即使有能力，也不敢輕舉妄動(dòng)。

攻克支付寶之后，支付寶賬戶上面的余額是完全可以修改的。這個(gè)原理，想必程序員基本都知道，能接觸到的，直接修改后臺(tái)數(shù)據(jù)庫就完事了。

但是，支付寶就像一個(gè)網(wǎng)上銀行，余額寶里面的錢，今年已經(jīng)首次超越了四大行。你認(rèn)為銀行行長可以敢隨便修改自己銀行卡的帳戶余額么？

很明顯，不敢啊。黑客也一樣，即使攻破了，我估計(jì)也不敢修改賬戶上面的余額。很簡單，這些都是有規(guī)則和法律的限制，一旦觸碰底線，就是犯法

你認(rèn)為黑客攻破了支付寶是不是一輩子衣食無憂了呢？歡迎關(guān)注留言，等你評(píng)論，等你「一鳴驚人」！

第一:想黑支付寶核心系統(tǒng)，那難度絕對(duì)比黑銀行還難。因?yàn)橹Ц秾毮阋�取出來它還會(huì)自動(dòng)比對(duì)你的數(shù)據(jù)來源，而這個(gè)數(shù)據(jù)來源需要和銀行匹配。也就是說你同時(shí)還要黑了銀行才行。

第二:有這個(gè)本事黑支付寶的團(tuán)隊(duì)，絕對(duì)是驚天地泣鬼神的！全世界銀行系統(tǒng)都能搞(銀行的連鎖加密體系都一樣，目前沒有任何人能破)！既然有這個(gè)本事，也就該黑五角大樓或者美聯(lián)儲(chǔ)，搞支付寶做啥？

第三:費(fèi)這么大功夫黑支付寶干嘛？有本事的話，直接給土豪手機(jī)客戶端中個(gè)木馬，把錢盜出來就好了，簡單又實(shí)用。現(xiàn)在的黑客也都是這么做的。比如，前2天，韓國比特幣交易所被黑了，被盜了7萬比特幣，交易所賠不起，申請(qǐng)破產(chǎn)了，這多實(shí)在！

坦白說，修改支付寶的數(shù)字還真不是什么難事。對(duì)于稍微有點(diǎn)基礎(chǔ)的黑客來說，將九塊錢改為9000個(gè)億，很簡單。

但問題是修改過之后，你就不能真的用它支付。不說別的，就拿賬戶余額舉例。你的賬戶里本來只有九塊錢的余額，結(jié)果你就改到了9000個(gè)億。你如果沒有用它做交易的話，服務(wù)器不過知道有這個(gè)錯(cuò)誤的存在。但你一旦用它來買東西，服務(wù)器會(huì)立刻識(shí)別。因?yàn)槊總�(gè)人將錢存入余額之后，服務(wù)器會(huì)自動(dòng)計(jì)算所有人余額的總和。你一旦修改余額，便會(huì)造成所有人余額總和和服務(wù)器記錄下的總和不一致。而且由于是你購物時(shí)造成的服務(wù)器報(bào)警，所以會(huì)著重調(diào)查你賬戶的問題。

據(jù)我想象，阿里的防黑機(jī)制是“連環(huán)扣”，共十層，如果黑客攻進(jìn)第一層，后面還有層層?套的九層防御。黑客必須連破十層，才能進(jìn)入核心，修改余額。

但是，當(dāng)黑客攻進(jìn)第一層以后，阿里反黑總部的警報(bào)已經(jīng)觸發(fā)，防黑高手們立即展開行動(dòng)，多管齊下，基本上會(huì)在第二層堵住黑客。

曾有一些黑客，號(hào)稱全球頂級(jí)高手，黑進(jìn)過支付寶防御層的第二層，在即將攻破第三層時(shí)，還是被堵在門外。

可見，支付寶的十層防御，全球無人可破。

另一方面，支付寶也有一個(gè)特殊機(jī)制，針對(duì)混在內(nèi)部的臥底，或從內(nèi)部離職出去的前反黑組成員。這就是：十層防御機(jī)制，分別有十個(gè)團(tuán)隊(duì)控制。除非有十個(gè)以上的臥底，順利地分頭混進(jìn)十個(gè)團(tuán)隊(duì)，否則，還是不可能得逞的。

這十層防御機(jī)制，也意味著，即使有內(nèi)鬼，也不可能有攻破的機(jī)會(huì)。

1，技術(shù)是絕對(duì)有難度的。

2，即使有一個(gè)誰也沒發(fā)現(xiàn)只有自己才知道的服務(wù)器漏洞也不可能拿來改支付寶這么low的事。用這個(gè)漏洞干點(diǎn)別的比這個(gè)賺的多！而且還有可能用幾次漏洞都不被發(fā)現(xiàn)（改完支付寶這個(gè)漏洞的壽命就終結(jié)了）。

3，有這種技術(shù)的人賺的會(huì)比自己改支付寶賺得多。

4，即使有人能改支付寶而且經(jīng)常改，你也不知道，人家肯定把數(shù)據(jù)庫里的收支來往都給弄平了。

這種是數(shù)據(jù)互鎖的，支付寶有三個(gè)中心數(shù)據(jù)庫在不同地方。意思是只有三個(gè)地方同時(shí)地震同時(shí)遭到破壞才可能數(shù)據(jù)丟失。另外你要修改支付寶余額要同時(shí)修改三個(gè)服務(wù)器才行，還要偽造日志，問題的關(guān)鍵是日志只要生成了就沒權(quán)限修改了。即使是中心服務(wù)器的維護(hù)人員擁有最大權(quán)限修改了也沒用，另外兩個(gè)服務(wù)器數(shù)據(jù)驗(yàn)證通過不了。阿里云自稱云計(jì)算世界第三，但是從數(shù)據(jù)總量，突發(fā)數(shù)據(jù)量，上面來看不弱于其他對(duì)手。

以個(gè)人力量和團(tuán)體力量是做不到修改支付寶余額的，就看動(dòng)用國家力量能否實(shí)現(xiàn)了。