文章总结： 文章批判了部分SRC厂商将风控作为万能借口来拒付漏洞奖金的现象，指出真正的风控应是实时防护而非事后补救。通过列举多个实际被驳回的漏洞案例，作者揭示了SRC审核中存在的口头风控乱象，并表达了对白帽测试环境恶化的无奈。 综合评分： 65 文章分类： SRC活动,实战经验,安全意识,漏洞分析,网络安全

聊聊SRC口中万能的“风控”

被风控的月神

鹅城县长

2023年11月7日 13:08 海南

风控是个好东西啊，控白帽不控黑客。

什么是风控？

what f***？

1. 我所理解的风控应该是这样的，在几年前我测试某支付软件，有个邀请新用户可以得到收益的时候，通过改链接手机号进行遍历邀请，瞬间邀请了4000人，突然就提示频繁了，然后我换号，换IP依旧不行。
2. 在一次测试外卖时，漏洞下单成功后检测到异常，系统自动退单。
3. 某app可以刷余额提现时，账号在刷出余额后自动被锁。
4. 某打车软件通过改活动中提现金额后，提现时提示数据异常等待审核。

我遇到的风控

原来真正的风控是嘴！！！

1. 游戏晶核刷道具，该道具不能交易（可以交易），该道具价值较小（无限刷），我们有风控（TMD游戏也来凑风控的热闹），我测试刷了几十万道具控谁呢（可能数量太少了没有触发他们风控门槛吧）。（无中生控，简称声控，也就是嘴）
2. 某app刷余额提现成功，SRC审核：你好，我们有风控（反正你提现太少了没有命中我们风控）。（玄学风控）
3. 某外卖可以刷平台补贴券进行套现，SRC审核：你好，我们有风控（你刷的时候没有，用的时候有，就算用的时候没有，大量用也有）。（反正就是有）
4. 某app活动页面刷礼品，SRC审核：你好我们有风控（礼物怎么到了？人工疏忽了所以发货了，这漏洞给您更改评级了）。（人工就是风控）
5. 某APP礼包无限领取，SRC审核：业务说有上限10次（领了50次后），业务说看错了是100次（ 已经被修复无法复现）。（xiu秋后风控）

我所理解的风控

ONE

我所理解的风控，他是一种策略，可以通过提现部署一些策略来防止某些功能出现安全问题而导致被破坏、造成资金损失等等危害，我见到了支付宝的风控的确牛，滴滴的风控也很厉害。

但是挖SRC这么多年了，我也见到无数靠嘴来风控的业务，反正我们就是有风控、你这次操作没有命中我们风控规则、业务那边说达到一定量后就会有风控。

    人工审核也算风控，事后封号也算风控。是真的不懂风控还是揣着明白装糊涂呢？

高危严重有风控，低危中危大家有遇到过因为风控被忽略的吗？

    退而求其次，风控要在24小时内响应，那么你既然控到了等了一周不修？

跪着要饭

TWO

要了这么多年饭了，属实不容易，现在饭也越来越不好要了，很多人开始转行教别人要饭。有时候要到好饭了，还没到碗里人家反悔了，说他们家狗还没吃饱，这顿饭得喂狗。

刚开始要饭还对未来一片憧憬，觉得要饭真好，而要久了才发现，要饭是一门艺术，是一门套路，是一门人情世故。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：鹅城县长 被风控的月神《聊聊SRC口中万能的“风控”》