金融贷超、贷款行业防止撸贷方案分析

浏览器环境过滤方式

多数撸贷撸友在贷超系统里面抓取到甲方链接后, 常常通过微信好友、微信群、qq 好友、qq群 等方式进行发送传播。

基于这个特性,那么甲方借款系统可以直接屏蔽,微信浏览器、qq浏览器环境已达到过滤的目的。

当时多数撸贷是形成自己平台形式,通过系统浏览器打开,那么这种情况下完全无力!

打开网站来源方式

Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问。

基于这种方式 贷超可以事先把,自己的域名提供给甲方系统,甲方系统,根据 Referer 进行判断来源,对应开出去的链接用户进到甲方系统以后,如果来源是贷超的域名,那么认为合法

否则非法。

这种方式表面看似没有问题,实际上只要 撸贷平台稍微懂点技术,那么这种方式就是掩耳盗铃之举。 为什么这么说呢原因有几个

  1. 贷超提供域名那么意味着贷超只能 网页 或者 H5 形式,如果是原生的APP 是没有 所谓打开域名的,所以也无法提供域名。

2 . 即使是H5 或者 网页形式 Http 协议本地是 Referer 就是可以被任意篡改的,撸贷只要修改下协议头把贷超的域名放到协议Referer 里面,照样完美提交。

签名认证方式

签名认证方式,就是 贷超 和 甲方 事先约定一个秘钥。 然后贷超在提交给甲方的链接上 多加入一个参数 sign 做签名。 甲方收到参数以后做认证校验

具体的流程算法可以举例

  1. 前期准备

    甲方给贷超的链接 渠道id = 123

    双方约定(各自存取不能对外公布) 秘钥 key= ******

    签名算法 sign = md5(time()+key+渠道id) (time 为时间戳,加入time以后 sign 值随着时间会变化,即使被撸贷抓到了,下一秒就变了)

  2. 贷超签名

    根据以上规则,在客户点击贷超链接时候 生成一个 sign 作为参数 传递个甲方页面。注意上面算法的时间错 为了准确。可以统一从甲方系统请求获取。

  3. 甲方校验

    等到请求打开甲方落地页的同时,获取到 sign 进行校验

    校验规则 通签名规则,但是中间有个时间的差,所以时间做一定的漂移值处理。

      //漂移值为10秒
     $flg = false;
      for( $i=-10 ;$i < 10;$i++){
        $time = time()+$i;
        $mySign = md5($time + $key+ $pid);
        if($sign == $mySign){
            $flg = true;
            break;
        }
     }
    if($flg){
      //校验成功
    }
    

    此方式为,在作用上,可以完全起到 杜绝撸贷的功能。 但是带来了额外的问题也很突出

  4. 贷超 和 甲方都需要技术层面

    每业务接入一次,需要对接一次签名校验,架设 贷超接入 100款甲方产品。那么要写一百遍类似算法。

    姑且我们认为 贷超实力够强,贷超可以去主导这个事情。那么反过来甲方系统要对接很多贷超,甲方系统也要做很多遍这种重复,但是有算法不相同的公众

    在目前这种市场情况来看,大多数甲方,是用系统商的系统,贷超也是找外包开发的系统 情况来看,要做这个事情几乎不可能。

  5. 即使已经按上面算法去做了,其实还是存在 如果贷超的技术水平够高,那么他是不是可以做个机器人。 默认人登录进去系统以后。每次他平台要数据的时候

    同时 到贷超平台请求贷超平台的算法去走一遍流程呢。答案也是肯定的!(那如果这样,绕了一大圈最终问题还是没有彻底解决)

总结

这样不行,那也有缺陷。那到底有没有有一种方案能彻底解决到这个问题,而且操作起来相对容易。答案也是肯定的,那就是 资深金融大牛长期行业打磨思考 开发的一套中间平台系统

《欣悦防撸系统》 来解决这个行业大疼点!

posted @ 2019-05-21 15:11  EchoSong  阅读(1409)  评论(0编辑  收藏  举报