京东安全第一人李学庆讲述：如何保卫 618 | 深度

如果你是一位京东的新员工，那么你要小心了。

• 当你打开自家企业的BBS，很可能看到一个帖子，提示点击进去就可以领取京东内部福利。

• 当你的工作邮箱收到一封邮件，提示你密码已经过期，需要你使用旧密码重置。

没错，你遇到了骗子。你登陆了虚假的“钓鱼网站”，把信息泄露给骗子。然而剧情在此刻华丽反转，这个“骗子”居然是京东自己的安全部门。如果你不幸上当，等待你的是被关进“小黑屋”，接受“安全再教育”。

如此“钓鱼执法”血腥得让人欲哭无泪。正所谓“一入京东深似海，从此恶习全能改。”这些“钓鱼执法”的发明人，就是京东安全第一人，京东安全应急响应中心 JSRC的老大李学庆。

【京东应急安全响应中心（JSRC）负责人 李学庆】

黑客的衙门：JSRC

和自己的员工“逗闷子”当然不是 JSRC 的全部任务。作为一个安全应急响应中心，和腾讯的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一样，京东的JSRC 有一个主要任务——堵住一切有可能产生破坏的漏洞。

形象地来说，京东就像一艘在深海中航行的邮轮，船板掉漆、船舱锈蚀每时每刻都在发生，JSRC就像在巨轮上下巡回的工程队，不断对它进行修补，保证这个赛博世界的百货商店从里到外的光洁坚固。

如果你是一名黑客，确切地说是一名白帽黑客，你研究出的任何可以攻击京东的漏洞，都可以通过 JSRC提交给京东。而你能获得的，将是颇为实惠的奖励，例如价值1000元的京东购物卡神马的。

严重漏洞1天，高危漏洞3天，中危漏洞7天，低危漏洞14天。这是我们对于不同漏洞的修复时间。

李学庆告诉，根据白帽子提交的漏洞等级不同，他们会得到相应的奖励，而且在重大促销或者节假日前夕，为了充分保障系统的正常运转，还会有翻倍奖励。“例如今年6.18 之前，我们搞了一个双倍积分的活动，白帽子提交高危漏洞，最高可以得到折合12000元价值的奖励。”

对于同样是白帽黑客出身的李学庆来说，JSRC更像是京东和黑客江湖沟通的一间茶室。他带领30多位关注京东的黑客组成了核心白帽群，不仅经常沟通他们发现的漏洞详情，还定期邀请业内大牛进行技术讲座。

以上这些玩法，是他经历了血的教训才习得的。某种程度上说，“黑客江湖”是大公司的“朝野”不得忽视的力量，因为行侠仗义的“侠客”们往往能搅动巨大的且不容忽视的波澜。

早在JSRC建立之前的2011年。刚刚加盟京东不久的李学庆就遭遇了一次危机。那就是当时业界的信息泄露事件，很多公司都遭受了这次事件带来的余震。彼时由于京东没有JSRC 这样专门处理漏洞的部门，白帽子发现漏洞之后并不能直接提交给京东，导致双方交流不畅，最终并不愉快。

这次冲突对于京东和黑客江湖来说都很伤元气。这也让李学庆坚定了要推动成立 JSRC 这个 “总理各路黑客衙门”。

JSRC中的每个成员对应京东的一条业务线。一旦确认漏洞，就会紧盯着相关部门“缝渔网”。

因为安全损失是没有办法估量的。

李学庆说，对于高危漏洞，如果出现业务和安全打架的问题，要首先处理安全问题，没有商量的余地。“这流程是经过高管讨论之后，形成的刚性制度。”

【京东内部漏洞响应系统流程】

京东“怕”什么？

从 JSRC成立到今天，大致有五年时间。今天来看，京东的业务线安全性已经具备了标准的防御力，真正危险的漏洞即使偶尔被找到，也会在当天被修复。但是作为电商，京东实际上面临着一些特别的威胁：

诈骗

用“树大招风”来形容这个一线电商比较贴切。说来无奈，骗子使用的手段并不高明，无非是伪装成京东客服给用户打电话行骗，或者伪造一个类似京东的钓鱼网站骗取用户钱财。

当然，做这些诈骗动作的前提是，骗子要掌握用户的登陆密码和个人信息。李学庆告诉，根据他掌握的资料，京东最近几年并没有发生成规模的用户信息泄露。但是京东仍然感受到压力，因为其他平台不断出现用户信息泄露事件。通过“撞库”，很多黑产还是可以拿到一些京东用户的登陆密码。

如果一个 IP 频繁登陆不同的账号，并且失败的次数还很多，那这就是很明显的撞库行为。

针对这部分用户，京东基本及时的要求用户重置密码。另外，

如果一个用户登录京东之后，没有选择商品的动作，而是马上使用余额或者京券、东券，这也是一个非常可疑的动作。”

这些就是 JSRC 对付黑产的一些招式。

数据使用安全

用户的数据是京东的“首要机密”，所以在 web 传输的过程中，凡是敏感的数据都会被打码，也就是“***”的状态。当然，仍然有很多情况下，服务需要请求“姓名、电话、邮箱”等完整的信息，这个时候，就要对请求的频率做限制。

当然，一个有效的制度一定要对内部人员也有完整的权利限制。

市场部做活动，很多时候会提取一些用户的数据出来做抽奖。这个时候，我们会给这些信息附加一些“key值”，有了这个动作，就可以记录这些信息的使用时间、使用量级，还有负责人。而且这个key带有有效期，例如一个月，过期之后就不能读出用户信息了。这样，哪怕是出现了信息泄露，也可以追踪溯源，查到责任人。

数据库安全

实际上，用户的数据全部存储在京东服务器的数据库中，这些数据一旦被窃取，将会是灾难。然而，在业内对于数据库的安全有一些比较成熟的操作方法。例如所有的数据都经过了高度加密，即使通过了层层防御拿到了这些数据，也是没有办法破译的。

前一段时间被媒体关注的领英用户数据库泄露，就是因为他们没有在数据中“加盐”（做加密混淆），才有了扎克伯格的 Twitter 账号惨遭破解的后话。

【2014年“出品”的某京东秒杀器】

羊毛党

前几年秒杀器横行，专门盯着京东做促销的秒杀活动。那时候我们会专门混入这些“秒杀京东”的群，甚至会花钱买来他们兜售的秒杀器来研究，封堵恶意攻击。

近几年反秒杀的技术臻于成熟，这样的威胁减少了。李学庆告诉，JSRC 还会有针对性地获取一些威胁情报，所以可以在敌人进攻之前筑好“防御工事”。

“对于我们的技术研发体系，我还是比较有自信。”李学庆说，“因为每次大促，我们都会做很多准备，包括业务抗压能力，双倍积分鼓励白帽子找漏洞，收集威胁情报。”

“所以这次618，我们还是比较淡定。”

618

淡定并不表示 JSRC 的童鞋们可以北窗高卧。李学庆说：

这次“618电商节”之前，我们把京东核心业务域名都进行了一次大排查，针对程序员经常范的错误以及严重漏洞逐一排查一遍。我们的一个小兄弟在手工检测一个新业务时发现了一个注入点，有可能窃取数据。经过和业务沟通，最后发现这个项目存在六七处代码问题，那天是周五，我们一起加班到了晚上，解决了这个问题。

在 618之前一次针对白帽子的活动中，虽然有双倍积分的诱人奖励，但是这么多高水平的白帽子只找到两三个有一定威胁的注入或者越权漏洞，这一点让他觉得京东的安全性还是有保障的。

尽管总体上安全无虞，李学庆的日常活动仍然是带领兄弟们去协调各部门修补无数的小漏洞。

例如前几天我们在web端发现了一个跨站漏洞，也协调开发部门修复了问题，然而我们却没有意识到，这个问题在手机 App端同样存在。直到手机端同样爆出了问题，我们才去修复。

当然，这次618，剁手党们并没有意识到京东的安全性存在问题。JSRC的所有任务，就是用7*24小时的待命让用户感觉不到自己的存在。李学庆觉得，这是一个安全人员的专业精神所在。

【2014年618，刘强东客串快递员送货】

来自黑客的“魔鬼训练”

让所有的京东同事都学会“安全地工作”，是李学庆的职责。如文章开头所言，一言不合就“钓鱼执法”，是他对同事进行教育的方法之一。

此外，他还曾经给几千名同事做过安全讲座。

2011年的时候，我在台上教所有的员工密码设置的技巧，告诉他们怎样的密码才算复杂，才算有强度。

例如，程序猿可以用老婆名字的缩写（前提是要有老婆）前后加上大括号，再附加520之类的表白，就可以构成一个强密码。另外，你还可以写诗，例如锄禾日当午，里面充斥着大小写混搭。

当时人们听得热血沸腾，纷纷回去改密码。后来几天我竟然解到了几个电话：“李老师，我忘记了自己设置的密码，帮帮我。。。”

然而，还有少数人死活不改内网登陆密码，即使李学庆屡次教导仍然“执迷不悟”。

他不改，只好我帮他改。在排查的时候，我用常用的密码字典去撞库，发现了一些弱密码，我直接从远程把他的桌面换掉，显示：你的电脑被黑了。

被“黑”的同事打开电脑，被吓得着实不轻。。。”

这就是来自李学庆这个黑客的“魔鬼训练”。他目的虽然不是让人人都是白帽子，但是至少人人都要有安全意识。也许这种“黑”同事的恶作剧，正是他心目中最好的教育方法。

尾巴

其实，2011年那次“信息泄露”风波，对于 JSRC 的建立显然起到了推动作用。提起那次事件，李学庆仍然感慨万千。

我相信所有的白帽子，他们的初衷都是为了帮助京东。如今因为 JSRC 的存在，京东和白帽子“刀剑相向”的局面应该不会再发生了。

他的逻辑很简单：因为朋友之间处理问题，要用朋友的方法。

JSRC 成立四年，团结了五十多个核心白帽子。他们拱卫着京东这个代码海洋中的“巨轮”。

安全远不是儿戏，而是真枪实弹的对抗。和其他电商一样，京东同样面临诸多战役。对于李学庆和 JSRC 来说，他们的使命正在于此。