筑牢数字金融基石-代码逻辑风险检测助力应用内生安全.docxVIP

筑牢数字金融基石

-代码逻辑风险检测助力应用内生安全

业务安全事件案例-豆瓣“羊毛事件”

AA事件时间

A

A

2026年3月2日凌晨

事件概述事件起因

事件概述

运营失误将“满200减20”优惠券误设为“满200减200”，导致价格漏洞。

事件经过

漏洞迅速传播，大量用户涌入抢购，商品短时间内售罄。

事件结果

平台损失惨重，被迫自动退款并补偿，引发用户争议和品牌信任危机。

核心风控问题分析

发布缺少审核

未实现对活动配置的自动校验和审核流程业务逻辑的管控，导致异常配置直接上线。

优惠设置未设阈值

未实现对优惠力度的阈值校验业务逻辑，无法识别并拦截异常优惠配置。

使用无限制

未实现对优惠券使用场景、用户身份及次数的限制业务逻辑，导致漏洞被无差别利用。

批量下单无阻断

系统未在业务逻辑层面设计对异常批量下单行为的识别与拦截规则，导致恶意行为无法被有效识别和阻断。

ll风险趋势

2025年线上业务欺诈风险持续高企，相关攻击事件超13亿条。

2025年全年数据泄露事件共41644起，较2024年全年环比上升10.83%。

银行业数据泄露风险连续三年排行第一，消费金融行业则强势反超电商行业，跃升至第二位，软件应用行业首次登上前10。

2025年业务欺诈攻击情报数数据泄露事件所属行业T0P10

2025年业务欺诈攻击情报数

数据泄露事件所属行业T0P10

2025年1月