最近有很多人问我电脑卡顿怎么办
iXuan这几天刚换了系统 从网上下载搞了一套批处理脚本
活不多说 看图就明白 代码对系统无害,删除的无系统重要文件(亲测)
1.png

2.png

没有什么花言巧语 只有干货 由于都是批处理文件 体积很小
那我就直接发城T网盘了 哈哈

下载地址:

城通网盘

好气啊,最近在百度搜iXuan博客,都不在首页了,原本可以排在第二个的,百度给我吃掉了

然后我又site搜索,发现百度大哥直接给我把www站给吃了,只留下了xuan100.top

上搜索资源平台,他喵的说我没有近期没有犯规,我特喵的没有犯规,百度您咋就给吃掉了首页

而且百度蜘蛛根本不来抓我站= = 谷歌都可以搜到iXuan博客了,百度却搜不到了

真是笑skr人

最近想做自媒体 发现阿里大鱼号入驻条件很简单呀
努力去写点原创的文章 我的大鱼号名字叫做“网络资讯先知”
有UC的小伙伴可以去了解一下
现在 对 现在 2018年8月27日19:30 正在写第一篇文章
具体内容呢 先不说了 哈哈
u=3569782424,3254145864&fm=58&bpow=593&bpoh=593.jpg

友链要求:

网站内容不涉及黄、赌、毒、暴力以及不违反中国大陆相关法律。
对于PR值这些都不考虑,但是你的网站最好是活跃的,不是死站。
对于网站类型不限制,内容积极健康向上就行。
严格打击互做友情链接后,删除友情链。
请先做好本站友链,然后在下面留言或者是邮件给我:1225062265@qq.com

本站信息:

名称:iXuan's Blog
地址:http://www.xuan100.top

友链代码:

<a target="_blank" href="http://www.xuan100.top">iXuan's Blog</a>

于8/25重新编辑本页 清空了之前的评论

你说安全就安全?

近日,红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”,其中“自主可控”一项已经被舆论所质疑,但是被官方放在第一项进行宣传的“安全”是否属实呢?

据笔者所知,红芯浏览器的主要客户为国内政府、大型国有企业,单位主体的性质决定了其内部会有大量涉及商密、机密、甚至涉及国家安全的重要信息,而红芯浏览器则被设计为触及这些重要信息的媒介,如果它出了问题,那么后果不堪设想。

为了验证红芯浏览器的安全性到底如何,小编决定做了一个简单的安全测试。对于这种套壳浏览器,安全测试大体可以分为两个部分,一个是“壳”的安全性,一个是浏览器“内核”的安全性。

对于“壳”,由于小编没有服务器环境,暂时无法接触到“壳”的主要逻辑,暂时作罢,如果你有测试环境,可以分享给小编,我们将在后续文章中分享测试结果。
图1 需要设置服务器地址才可以登陆,进而才可以测试“壳”

那么我们就测一下”内核”。根据之前网络上的爆料文章,红芯为了兼容XP,使用了最后一个兼容XP的内核:Chromium49。说起这个内核,笔者不禁回忆起了自己的青春,当初学编写chrome扩展的时候正是基于这个版本,说起来已经是两年前的事情了。

换句话说,如果你使用了两年前的版本,你失去不仅仅是两年内Chromium的新特性、新功能,更重要的是你失去了这两年内Chromium积累的安全补丁。

本次测试文件为红芯企业浏览器的3.0.54版本。

图2 红芯浏览器3.0.54安装文件

测试项目:XSS Auditor(filter) ByPas

XSS Auditor(filter)ByPass 翻译过来意思是:XSS审计器(或称XSS过滤器)的绕过。一直以来,XSS攻击是web前端领域里面威胁最大、利用最广泛的漏洞。在国际权威组织owasp针对最流行的Top10的web攻击统计中,XSS攻击从未掉队。

图3 2013-2017之间XSS的排名变化

然而,从这张图可以看到XSS从2013年的第3滑落到2017年的第7名,这其中的原因是多方面的,但其中重要的原因,就是现代浏览器引入并不断完善的XSS Auditor对反射型XSS的“狙击”,让XSS攻击越来越难用。

XSS Auditor最早被Chrome4、IE8引入。当然,道高一尺魔高一丈,XSS Auditor的更新不是闭门造车,而是在不断的攻防对抗中完善自己。全世界的黑客都在乐此不疲寻找XSS Auditor中的缺陷,以求绕过防护进行XSS攻击。而几乎Chrome的每次更新、IE的每个补丁,都会更新XSS Auditor,让这些绕过措施失效。然后黑客又找、官方又更新……由此往复循环,才有了今天较为完善的XSS Auditor防护体系。

我是不是扯远了。回到正题,红芯用了两年前的内核,那么意味着XSS Auditor已经两年没有更新,理论上这两年内的任何一个绕过XSS审计器的利用代码都是可以生效的。

我们先构造一个简单的反射形XSS漏洞:

<?php
echo $_GET["c"]; //输入即输出
?>

我们检查红芯浏览器是否能抵御XSS攻击。地址栏输入:

http://127.0.0.1/uxss/xss.php?c=<script>alert(/xss/)</script> 

输入的js并没有执行,可见红芯是开启了XSS Auditor的。

百度随手搜了一段绕过XSS Auditor代码,即在上面的js前面加一串%00。“%00”是16进制的0,在C语言中代表字符串的结束。不同的程序对0字符的理解不同,因此这个字符经常会引发一些安全问题。输入:

http://127.0.0.1/uxss/xss.php?c=%00%00%00%00%00%00%00%00<script>alert(/xss/)</script>

图4 绕过红芯的防护,执行了XSS

成功绕过XSS Auditor执行了js。

相同的代码在我的Chrome63(非最新)上却被成功拦截。

图5 该漏洞早已被谷歌官方修复

......

余下全文 请看http://www.freebuf.com/articles/web/181502.html

社会工程学(Social Engineering)
,是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。

引子

我们先试想这个的一个画面:

又是一个“元气满满”的周一,你揉着惺忪的眼睛,走到公司门口,在兜里摸了半天工卡,然后放到读卡器上解锁了门禁。你缓缓推开门,走了进去,正准备放手的时候,后面跑过来一位漂亮可人的女性,她双手提满了大包小包,嘴上喊着“请等一下”。你觉得这个人好像没见过,脑海中闪过一丝迟疑,但是对方看起来纯良无害又疲累不堪。此刻,你心头涌起的保护欲与同情心让你握紧了门把手,把快要关上的门拉开,让她冲了进来……
你心想,公司这么大,这可能是平时没怎么见过的同事;或者是今天周一,有新同事入职。几个想法在脑海中绕了几个弯后,你已经走到了工位上。于是你不再想这件事,打开电脑,开始一天的搬砖。可你没想到,第二天,传来公司资料失窃的消息……

帮人开门原本是出于礼节的行为,在当今社会很常见。但在特定场合中,这种行为很可能带来灾难。有些别有用心的人会利用这种礼貌行为,扮成需要帮助的弱者,博取同情,从而顺利进入原本没有权限进入的地方,最后制造破坏。这就是“社会工程学”的一种通俗表现。

世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到:“人为因素才是安全的软肋”。而社会工程学正是利用了人的恐惧、好奇等一系列心理,或者利用人们常见弱点,通过多种方式套取个人信息或者实施诈骗。网络钓鱼就是常见的社会工程学攻击之一。

社会工程学攻击的成功几率一直很高,哪怕如今人们已经提升了对网络诈骗的防范意识,但由于多种情绪或心理因素的影响,还是免不了上当。尤其是当社会工程学遇到了当今人们几乎离不开的微信,碰撞出的各种新骗术更是防不胜防。

社会工程学攻击常常利用的心理

除了上文已经提到的同情心之外,还有很多心理会被攻击者利用,展开社会工程学攻击。
粗心大意
在便于分享的网络环境中,不论是邮件还是微信或者 QQ 的对话框都能发布各种链接。处于信息轰炸的时代,也许每个人每天都会通过短信、微信或者 QQ 等各种途径打开链接,或者无意中点开陌生邮件的附件。在点击之前,他们甚至都没来得及细看。

利用粗心实施的社会工程学攻击包括:

注册近似域名 (Typosquatting)

同形攻击

黑帽 SEO / SEO投毒

点击劫持

引用文字

尾随或捎带确认攻击

窃听

这一类中最常见的就是最近闹得沸沸扬扬的“拼夕夕”的手段。拼多多上市以后,其平台销售山寨产品的行为遭到很多人的批判。也有人因为粗心或者不了解而上当。

请输入图片描述

一不留神点击链接中了病毒很可怕,一不留神就买了假货也很糟心。在微信聊天或者微信朋友圈中,有些链接模仿大牌购物页面,用户一不留神点击进去之后,会被获取个人信息,甚至会被骗走财物。

好奇心害死猫

利用这种心理的社会工程学攻击往往伪装成偶然发送邮件或压缩包或链接,命名有与个人相关的近期旅游照也有与商品推广相关的新折扣信息等。有些人看到这些内容,往往会出于好奇而点击,最终中招。

利用好奇心实施的社会工程学攻击包括:

社交网站中的恶意软件活动(“热门视频”诈骗,明星丑闻等)

其他欺骗你的独家内容(与事故或灾难相关的视频或图片等)

社交媒体诈骗:“查一查谁访问了你的个人资料”、“测一测你今年运势如何”等;

USB攻击

邮寄 CD 攻击

新闻劫

在微信朋友圈,我们经常能看到各种测试,不论是测试运势还是上传照片变装,一旦扫码或者点击链接测试之后,你就把个人信息拱手让人了。

请输入图片描述

前不久,外媒有报道称美国认为中国黑客通过“邮寄 CD”这种古老但难以应对的方式进行攻击,用于刺探情报。虽然最终没有确切证据,相关报道很可能是诬陷。但这也说明,类似的方法在以前的确会奏效。

剩余全文地址

请输入图片描述

台湾白帽Orange Tsai(蔡政达)受邀前往本届 Black Hat USA 和 DEFCON 26发表议题演讲,在《Breaking Parser Logic! Take Your Path Normalization Off and Pop 0days Out》的演讲中,他分享了如何基于“不一致性”安全问题,综合利用4个功能性Bug,实现对亚马逊(Amazon)协同平台系统的远程代码执行。

以下是他的详细技术分享:

背景说明

在过去两年时间里,我重点在研究一些“不一致(inconsistency)”的安全问题,这是什么问题呢?这就有点类似我去年在 Black Hat 的演讲以及《GitHub SSRF to RCE》的研究一样,我先通过发现URL解析器和URL获取器之间的不一致问题,形成了整体SSRF绕过,最终实现更严重的漏洞利用。

另外,这篇由@0x09AL写的文章《Bypassing Web-Application Firewalls by abusing SSL/TLS》,也详细阐述了 “不一致“ 安全问题导致的重要漏洞,值得拜读。

有了之前的基础,今年我着重研究了路径解析器和规范化之间的不一致安全问题。理论上来说,因为不同对象实体具备不同的标准和实现需求,所以很难开发出一款设计严格而全面的解析器。但当解析器出现安全Bug时,为了不影响业务逻辑,研发上通常的做法是采用某种替代方法或是增加某种过滤器,而不是直接给Bug打补丁,最后的影响是治标不治本。所以,这样一来,如果过滤器和调用方法之间存在任何不一致问题,就可能轻松绕过系统本身设置的安全机制。

当我在阅读一些漏洞分析报告时,我注意到了一种叫”URL路径参数“( URL Path Parameter)的功能特性。一些研究人员已经指出,如果编程出现错误,这种特性可能会导致安全问题。通过点点滴滴的关联分析,我发现这种特性可以完美地应用在多层体系结构中,而且默认情况下,不必编码出错,就存在攻击面,可导致漏洞利用。如果你在反向代理中使用了Java后端服务,那么就可能存在这种漏洞!

早先在2015年时,我首先是在一次红队测试中发现了这种攻击面,之后,我觉得这个问题威力超强,也想看看安全圈内的知悉面,于是,我就在WCTF 2016比赛的自出题中设计了一道相关题目。

WCTF是由Belluminar和360共同举办的比赛,这与其他CTF比赛中的解题模式(Jeopardy)和攻防模式(Attack-Defense)不一样,它邀请了全球各国的前10名团队,每个团队都需要设计两道挑战题目,所以总共有20个挑战题目。你解题数量越多,你得到的点数就越多。然而,最后却没人能解出我出的这道题目。所以,那时我认为这种技术可能还并不为大多数人知晓。另外,我也对DirBuster、wFuzz、DirB 和 DirSearch这些扫描器作了测试,但只有DirSearch在2017年5月加入了这种扫描规则。

因此,今年我打算分享这个议题。但为了说服Black Hat 的审查委员会,我需要有力的用例支撑。所以,我又重拾挖洞,然而在测试中我发现,这种攻击面不仅可以造成敏感信息泄露,还能绕过访问控制列表(像我发现的这个优步OneLogin登录绕过漏洞),在某些漏洞众测项目中还能导致远程代码执行(RCE)。在这篇文章中,我就来介绍,利用这种 “不一致” 攻击面问题,综合4个功能Bug,实现对亚马逊协同平台的远程代码执行(RCE)。

多层架构的不一致性,可以形象的用以下图片来表示:

请输入图片描述

前言

首先,感谢亚马逊(Amazon)开放的漏洞披露策略,与亚马逊安全团队Nuxeo的合作非常顺畅,仅从漏洞上报进程来看,就可以看出亚马逊快速的漏洞响应速度,以及他们积极的应对措施。

开始我们要从网站 corp.amazon.com 说起,这貌似是亚马逊的一个内部协同系统,从网站的底部版权信息来看,该系统由开源项目Nuxeo部署构建。而Nuxeo又是一个庞大的Java项目,且刚开始我只是想提高一下我的Java审计技术。所以故事就从这里说起吧!

四个漏洞(Bug)

对我来说,当我拿到Java源码时,我首先会看看 pom.xml 配置文件,然后再去查找是否存在过期的引用包。在Java生态系统中,很多漏洞都像 OWASP Top 10 – A9 描述的组件漏洞那样,如涉及Struts2,、FastJSON、XStream等反序列化组件时,就可能存在漏洞

pom.xml主要描述了项目的maven坐标,依赖关系,开发者需要遵循的规则,缺陷管理系统,组织和licenses,以及其他所有的项目相关因素,是项目级别的配置文件。

这里的Nuxeo项目中,初看貌似其中的包都是最新的,但我却发现了一个”老朋友“ – Seam框架。Seam是基于 JBoss 的web框架,隶属红帽Linux系统的分支,在早前几年非常流行,但现在仍然存在大量基于Seam的web应用。

我曾在2016年对Seam进行过审计,也发现了其中一些风险隐患,但最终在这里,貌似也无法直接照搬实现。我们先继续往下分析。

  1. BUG 01:路径规范化错误导致的访问控制列表(ACL)绕过
    当从WEB-INF/web.xml文件中查看访问策略时,我发现Nuxeo项目使用了一个通用的验证过滤器NuxeoAuthenticationFilter,并把/*类型目录映射到了这个过滤器上。这种验证机制下,大部份网页都需要进行验证,但也存在一个包含login.jsp这样页面的访问入口白名单,所有这些功能都由一个名为bypassAuth的方法来具体实现:
protected boolean bypassAuth(HttpServletRequest httpRequest) {

// init unAuthenticatedURLPrefix
try {
    unAuthenticatedURLPrefixLock.readLock().lock();
    String requestPage = getRequestedPage(httpRequest);
    for (String prefix : unAuthenticatedURLPrefix) {
        if (requestPage.startsWith(prefix)) {
            return true;
        }
    }
} finally {
    unAuthenticatedURLPrefixLock.readLock().unlock();
}
// ...
return false;

}

从上述代码可知,bypassAuth方法会检索当前请求页面与unAuthenticatedURLPrefix作一个比较,但是,bypassAuth方法是如何去检索当前请求页面的呢?为此,Nuxeo写了一个getRequestedPage方法来从HttpServletRequest.RequestURI中提取出当前的请求页面,这样一来,第一个问题就出在这里了!

protected static String getRequestedPage(HttpServletRequest httpRequest) {
String requestURI = httpRequest.getRequestURI();
String context = httpRequest.getContextPath() + '/';
String requestedPage = requestURI.substring(context.length());
int i = requestedPage.indexOf(';');
return i == -1 ? requestedPage : requestedPage.substring(0, i);

}

为了去处理URL路径参数,Nuxeo用分号对所有的尾部进行了截断,但是,URL路径参数的行为是各式各样的,每个web服务器都有自己的实现方式,Nuxeo的这种处理方式在WildFly、JBoss 和 WebLogic中可能会很安全,但在这里的Tomcat下可能就有问题了。也就是,getRequestedPage方法和 Servlet 容器之间的差异导致的安全问题!

由于它的截断机制,我们就能伪造一个与访问控制列表(ACL)白名单匹配,但又是Servlet 容器中未经授权的请求。这里,我们选择login.jsp作为前缀请求文件,访问控制列表(ACL)绕过的请求如下:

$ curl -I https://collaborate-corp.amazon.com/nuxeo/[unauthorized_area]
HTTP/1.1 302 Found
Location: login.jsp
...
$ curl -I https://collaborate-corp.amazon.com/nuxeo/login.jsp;/..;/[unauthorized_area]
HTTP/1.1 500 Internal Server Error
...

从上可以看到,我们设计了绕过重定向进行身份验证的请求,但多数响应页面返回的是一个500的错误。因为 servlet 逻辑无法获取到一个有效的用户框架信息,所以它抛出了一个 Java 的NullPointerException异常。尽管出现这样的错误,我们还是一样可以从中找到突破口。(PS:除了这种方法之外,我还发现了另外一种快捷的入侵方式,留作下次再分享)

剩余全文地址

我也不知道为什么 腾讯把我的域名[www.xuan100.top]
屏蔽掉了qaq 理由是传播sq【黑人问号脸】
然后我就觉得 可能真的没有多少人会访问我的这个小网站吧
不过今天我查了一下百度统计信息,今天竟然有6个小伙伴访问了这个小破站
开心死了~qwq 原来我的努力还没有白费~~qaq
我文笔也不太好呢 所以也没法写很多很多内容 写的内容多了大家也不喜欢看对吧
emmmmm 那这篇博客就放在"水""生活趣闻"这两个分类里面吧

本年是淘宝 15 周年。

15 年来,淘宝就像阿里的一堆原火,开天辟地,赓续舒展繁殖出新的营业生态,从即时相同的旺旺到在线付出的付出宝,阿里依靠淘宝改变了中国人的购物文明,尚有守业观。

但是,阿里在变,变得无处不在。

淘宝照样谁人淘宝,泥沙俱下,讹诈赓续,谁也不晓得收集那里的,是否是一条长着獠牙的狗,等着你进口。

“ 暗盘 ” 遭黑

你碰到过 “ 包毕生 ” 的讹诈吗?

一次讹诈,毕生不扰。

差评君在淘宝上有一家小店 “ 暗盘 HEISHI ”,前阵子一名主顾在下单后忽然请求退款,称收到了 “ 冒充产物 ”,请求退款并赞扬淘宝小二扣分、下架产物,开头还自动留下接洽方法请店家接洽。

电商部分的蜜斯姐细心看了一下,是近来上新一款牙刷,标注产物信息的时刻忽略,把品牌名写到了型号上,没什么其余成绩。

不外蜜斯对此次赞扬发生了猎奇,由于跟一个通俗消费者来比的话,这个赞扬显得也忒业余了。。。

                ( 连淘宝规矩第若干条都清晰,状师水准了的确 )

对方先用 “ 冒充品牌、讹诈消费者、向工商赞扬 ” 为由恫吓一番,后表现能够暗里理赔。

这时电商的蜜斯姐曾经嗅到了诡计的滋味,有些朝气了,由于品牌曾经在商品题目和图片上都强调了,瑰宝概况的 “ 品牌 ” 和 “ 型号 ” 写反了,基本不是赝品,对方有点无理取闹的意思。

500 了事,对方开了价。我方讨价:打个折若何?

“ 八折,包毕生 ” 对方给出了底价,也裸露了其歹意讹诈的本色。

这外面尚有另一层意思,包毕生再也不骚扰只是这个账号,假如其余朋友来,乃至这小我换个马甲再来,那你也要忍着!

蜜斯姐固然不克不及如许任人宰割,立马筹备好资料给淘宝小二申述。客服讯断:退货退款,但需卖家承当邮费。

也便是说,你想在淘宝下面碰瓷讹诈打单,本钱近乎为零。

这种工作,一样平常只要两种成果:一,卖家乖乖就范,打单的人获得 500 块加商品;二,卖家申述胜利,买家退还商品,并退款,看起来两边都不亏,但实在卖家要丧失快递费。

不管哪一种成果,受伤的都是卖家。

值得一提的是,这种讹诈金额单笔都在 2000 元如下,像上文提到的 500 元未到达讹诈打单刑事犯罪备案标准,无奈备案,仅属于违背治安管理行动,为商家报警追求司法援助造成了必定艰苦。

“ 吃货同盟 ”
“ 你想黑吃黑啊? ”

——《 疯狂的赛车 》

老 C 运营着一家笔记本周边产物的淘宝店,开店九年,是淘宝第一家专卖 MacBook 贴纸的店家,积累了近十万粉丝。

然则这几年,均匀天天两三起歹意差评让他为难其扰。和暗盘碰到的讹诈比拟,老 C 的产物客单价低,油水少,打单的方法加倍简略粗鲁: 间接威逼给差评,拿钱了事儿,假如不从,就间接差评走人,横竖贴纸也不贵。

除下面这种钻空子无理取闹的和间接威逼的,尚有一群更产业化的 “ 差评师 ”,他们专门黑吃黑的技巧流~

淘宝上经常有卖高仿和精仿货的,人人都认识,在差评师眼里,便是肥肉。

这些差评师的群被圈里人称为 “ 吃货群 ”。

上百人乃至上千人的群里一样平常会有多个管理员,停止平常构造,这些 “ 吃货 ” 不以讹诈财帛为目标,而是为了收费获得产物,经由过程一些歹意赞扬,包含但不限于赞扬售假,迫使商家不退货,仅退款,空手套白狼。

仅退款:发货 15 天内能够请求仅退款——分三种情况:未收到货、未签收、与卖家协商批准,这三者都是必要卖家批准的。而当歹意买家赞扬卖家售假,请求仅退款,经鉴定胜利时,买家能够 “ 货财双收 ”。

异样,这些商品单笔金额都在千元如下,鞋子、腕表是最轻易到手的产物。在群里,最多的信息是 “ XX 鞋子,能够打,要上车的私聊。” 这是 “ 打假圈 ” 的黑话,指此中一人找到了猎物,叫 “ 带车 ”,而其余人想要上车,就要交纳 “ 车资 ”,一路去 “ 吃货 ”。

这些人异常耐烦,不会扣问卖家成绩,而是间接拍下期待卖家发货,他们收到后不会顿时确认发货,而是期待几天,开端请求仅退款,赞扬售假。

心虚的那些精仿店家或许刚停业的小店,每每会抉择破财消灾。更夺目标 “ 吃货 ” 会抉择垂纶法律,在拍货前用旺旺与卖家谈天,重复引诱卖家认可是 “ 高仿 ”、“ 赝品 ”,一旦坐实,亏的就不仅仅是一双鞋了。

尚有培训资料

在这个 2014 年树立的“淘宝打假吃货仅退款”群里,有 1900 多个成员, 51%为 90 后,外部有完备的教程、案例和最新获得司法法规,打假平台包含淘宝、京东、微店等多个电商平台。群里人自夸为 “ 旭日大妈 ”,为 “ 污染电商情况 ” 做着自己的进献,哪怕是让他人流离失所。

这些有构造的差评师,更像是淘宝上的 “ 黑社会 ”。

对方会应用软件开释虚伪流量到卖家商号,在生意顾问后盾能够看到许多分歧 IP 地点的 PC 访客间接进店,同时在 QQ 群调集大批 “ 远征军 ” “ 轰炸 ” 商号并发生大批购置定单,以异样手腕歹意仅退款。美其名曰:“ 风控 ”。

就如许,歹意买家们近乎 0 本钱能够轻松搞垮一个淘宝店。

他们把做这个当做流水线生意,有关公理,借机敛财而已。

畸形的淘宝

阅历了淘宝早期的赝品风行,阿里巴巴不停在致力于袭击赝品,“ 售假 ” 曾经成为淘宝弗成触碰的底线,售假赞扬一旦树立,扣 2 分降权。老 C 说售假的商号会在一个月内搜刮页面流量下沉,现实影响至多 2 年。

数据表现,阿里每年在打假上的消费近 10 亿元,而且这个数字仍在爬升;今朝,阿里有近 2000 名员工全职卖力打假,尚有跨越 5000 名社会志愿者参与打假。本年 1 月,阿里巴巴宣布《 2017年阿里巴巴知识产权保护年度申报 》。申报称,每 1 万笔定单中唯一 1.49 笔为疑似赝品。2017 年,阿里封闭 24 万个淘宝疑似侵权商号。

也正由于如此,听到售假赞扬的商家,尤其是新店,大多会束手待毙。

老 C 说:“ 搞个十家,一家认栽,便是赚了。”

差评君并不愿意称这些工资 “ 职业打假人”,以打假为目标的取利,不外是一群游离在司法边沿的谋利份子。

但另一方面,催生这些所谓 “ 打假人” 的恰好是平台和消费者。

当低端必要牵引出有用市场,淘宝们正供给了如许一个凋谢的互联网平台,有了 “ 知假买假 ” 的必要,就有了层出不穷的 “ 精仿 ”、“ 高仿 ”。而卖家和平台共生的干系,注定了某些可估计效果的发生。当年的聚美优品也深陷赝品旋涡,无奈陈欧封闭了第三方平台,改成直营。

平台情势下,触及多方,义务鉴定在贸易和司法层面都不确定。因而才有了这个淘宝畸形的市场怪圈:冠冕堂皇的卖假,冠冕堂皇的买假,冠冕堂皇的 “ 打假 ”。

反差评同盟
卖家们并不会束手待毙,除纯低俗顽劣的给歹意买家邮寄了不得的器械外,一些有能力的淘宝卖家树立了 “ 反差评同盟 ”,在各类服装论坛t.vhao.net、淘宝群地下暴光疑似 “ 职业差评师 ”( 这里的差评师指所有靠不正当手腕损害卖家好处的歹意买家 )的信息。

差评君在岁首年月发过一篇对于这一职业的文章 “ 我靠给他人寄翔赢利,月收入八万。。。” 外面提到的 “ 淘宝差评师暴光台 ” 大多数由于侵占消费者隐私权被关停,然则尚有幸存者。

这些网站上,收录并及时更新的 35 万可疑买家中,有 52 %打假师,其次为歹意退货和差评师。

暴光的买家从性别、年纪、住址、ID 都一览无余。没有人晓得这 35 万人中究竟有若干是善人,又有若干是通俗消费者。

但卖家也没方法,只能靠这种 “ 人肉 ” 的方法以暴制暴,短信轰炸骚扰或许寄一些奇怪的器械给 “ 差评师 ”。

这两伙人在司法和淘宝都管不到的地界,打的不可开交。

但便是如许,淘宝照旧发明了中国电商神话, 2012 年开端,中国 GDP 增速初次低于 8 %,但淘宝+天猫两大系统 GMV 初次冲破 1 万亿,直到客岁到达 4.82 万亿。

淘宝的无奈和默认
“ 一小我总要和蔼些,‘ 和蔼生财 ’,对不对?”

——鲁迅

阿里做了电子商务 15 年,这种情况淘宝不是早就应当树立了完美的羁系机制吗?

按照惯例,生意两边呈现任何胶葛,将由淘宝小二停止讯断,若有一方不平讯断,能够筹备资料,继承 “上诉 ”。

而在 2013 年, “ 为标准淘宝网平台次序,让更多会员参与平台管理 ”,淘宝上线了 “ 民众评审轨制 ”,本年还获得了 “ 阿里巴巴 2018 财年团体公益大奖 10 强 ”。即在小二参与以前,由民众评审员先停止生意营业胶葛的讯断。

有点像古希腊民众陪审团,面临一路胶葛,如支撑任何一方的评审员到达 16 ( 含本数 ),则组成有用鉴定,支撑率≥ 50% 的一方得胜。

不得不说,这个评审轨制初志是为了进步审讯科学性,审讯案例也有种别规模限制。然则现实操作过程当中,差评君发明了一些成绩。

评审员不必要任何培训就能够间接上岗讯断;存在着必定嘉奖机制,但刷分本钱为零;评审员中生意营垒对峙,只要有一方数目占优,讯断就难以包管公道。

停止今朝,民众评审曾经胜利审理了 2654104 起胶葛。而这此中,用脚投票发生的又有若干起?

假如对民众评审成果不满意,生意两边能够请求小二参与,但更多的小二为了进步处置效力,每每倡议两边相同,相安无事。

究竟,和蔼生财嘛。

查询拜访中,差评君发如今淘宝外部可能有一笔奥秘的 “ 赔付基金 ”,当生意两边发生生意营业胶葛,而小二讯断两边均不满意时,淘宝有必定概率动用赔付基金赔付受损方,而店家会被扣分。至于基金的起源,有人说是淘宝自掏腰包,也有人说是从店家押金中扣除。老 C 的朋友 L 就碰到过这种情况,然则并无受丧失。

( L对付 “ 基金 ” 的说法 )

从久远角度来看,如许的 “ 维稳费 ” 很大水平上是牵萝补屋,更像是平台为了相安无事交给这些 “ 黑社会 ” 的保护费。

天猫曾经走上了旗舰店的道路,而以小卖家小作坊等情势为主的淘宝,还陷在泥潭里看不到将来。

这不,本年 3 月,淘宝特价版上线,对标拼多多。

以前淘宝打败了高贵的 ebay ,如今,它又开端比起了谁的身材更低。

作者:差评 起源:差评君

咱们在看一些古装剧或是小说时,常常会有如许的一个情节。

好人跪在配角眼前,一把鼻涕一把泪地请求说:

“大侠,我上有八十岁老母亲,下有嗷嗷待哺的子女,请饶我一命。”

虽说是一句再平常不外的台词,但这句话也其实道出了中年人生涯的艰苦与不容易。

年龄越大,阅历的越多,承当的越多,所要顾及的工作越多,胆子也就变得越小。

年龄越大,越怕死
头几天有老同伙来找我,放工后我急匆匆叫了一辆的士赶着去赴约。

一路上,徒弟开得不温不火,我便敦促他说:“徒弟,能快点不,急着去找同伙。”

徒弟笑着说:“你能够打个德律风提早跟你同伙打声召唤,究竟安全第一。”

当我还在内心腹诽徒弟怕死的时刻,徒弟跟我讲起了他的故事。

年青的时刻,总有天不怕地不怕的胆子。

对付开车,在人车稀少的处所,常会把油门踩究竟,化身秋名山车神,享用那种追风逐电的感到。

但有一次,照样一不小心出了事。

当他复苏过去时,他的老父亲快快当当地从故乡赶过去,当时故乡照样山路,白叟是赶了一晚上山路才探索到县城病院,赶到时,一脸的干瘪和惊恐。

而谁人年仅7岁的女儿,看见血被吓得悚在角落里,缓过神来,嘤嘤哭着对他说:今后丫丫会乖乖听爸爸话……

徒弟感到本身照样比拟荣幸的,只是一次小车祸,大腿绑了一个月的石膏就无碍了,不外与死神擦肩而过的感到他不停历历在目。

见多了存亡,才晓得性命的软弱和宝贵。对付命,有的人,送进病院,前半生积福能从地府拉了返来,有的连懊悔的机遇都没有。

他末了说:“年青的时刻,不停感到灭亡是一件很遥远的事,而比及了这个年龄,会感到性命软弱,更由不得本身。”

现在的他,早睡早起,保持熬炼,随身带水壶,枸杞红枣不离身。

年龄越大,胆子越小 心境感悟 互联网 IT职场 好文分享 第1张

年龄越大,命就越不是本身的。好好地在世,不单单是对本身卖力,也是对家人卖力。

年龄越大,胆子越小。会逐步落空“初生牛犊不怕虎”的冲劲,更懂患了畏敬性命,理解在性命眼前,要谦逊三分。

年龄越大,越怕穷
古龙已经笑言:

“年龄越大越贪财,只由于已看透了统统,晓得世上绝没有任何器械比财帛更其实。 ”

年龄渐长,对付财帛每每更难看开;对付挑衅,也会加倍拘束,在运气眼前,有点显得战战兢兢了。

好比我的父亲。

他年青时,掉臂世人阻挡,从体系体例里进去,南下守业。

在工场流水线里当过流水线工人,工作了半年感到出路渺茫开端跑去深圳做贩卖,跑了一年的单,又转做手机代理商……

起初结识了我妈,娶亲今后,工作稳固上去,心也定上去。逐步地再也不跋山涉水,把更多的精神都花在经营家庭上。

前几年,家中有亲戚想找他一路投资,前先后起初了几回,向他刻画了雄伟的发展规划,试图压服他。

爸妈都摇动过,但末了照样没有准许。

那天,拒绝了主人后,他对我说:

“在甚么年龄就该做甚么年龄的工作。20几岁的时刻不克不及畏畏缩缩,停滞不前。

但比及年龄渐长,就不要像20几岁时同样肆意妄为,那是对你也是对家人的不卖力。”

前面等我进来工作打仗了更多的人今后,才明确这番话。

年龄越大,胆子越小 心境感悟 互联网 IT职场 好文分享 第2张

上了年龄的人循序渐进地实现他们生涯的统统,不是他们热血已凉,畏惧作出转变,而是晓患了在他们这个年龄,抉择的价值变高了,容错率变小了,今后的每一步都要走得战战兢兢,由于他们承载着全部家庭的幸福。

一荣俱荣,一损俱损,一旦上了年龄,人生就跟全部家庭绑在一路,他们成为了家庭的支柱,成为了家人的盔甲。

他们更怕穷,更怕失败,乍看是守着一亩三分地的短视,其实不外是承载着让家人吃饱穿暖的朴实希望。

孩子必要照料,老婆必要庇护,怙恃必要供养,他们肩负起让所爱之人幸福的义务,他们怯弱如鼠地朝着危险最小的途径进步着,这类怯弱,是伟大的。

由于担子越大,以是胆子变小。

年龄越大,越认“怂”
人越长大,越爱说谎,学会了对家人报喜不报忧。

头几天听到一个故事。

有个保洁姨妈在外值班时,被途经的一群年青人无故欺侮了。

他们借着酒劲胡乱撒野。砸坏了她的垃圾车,折断了她的扫把,推推搡搡中,还把她推倒了,胳膊肘被玻璃扎出了一道大口儿。

她一个人捂着伤口去附近的诊所包扎,包好伤口后,还返来默默地把工作实现。

回抵家的时刻,像没事人同样洗衣做饭,笑容盈盈,像没事人同样。

起初是她共事跟她丈夫提起,家人才网job.vhao.net网job.vhao.net通晓。

“你为何不说,不哭,不喊痛?你为何不对抗,不报警,不力排众议?”

人人有点怒其不争地说:“年龄越大,怎样越怂了,太窝囊了。”

她只是讪讪笑着。

起初私底下和他人聊到这件事,她说:“便是,不想孩子老公担惊受怕的。”

年青的时刻一腔热血,满胸孤勇,感到受了委曲就得去争一口气。

疼了就哭,痛了就喊,气了就骂。

但年龄多长几岁,晓患了要能伸能屈。很多事,怕费事怕得罪人,想了想,也就摆摆手说“算了算了”。

更怕由于本身的生涯陷在胶葛里,牵连着本身的家人,随着本身一路担惊受怕。

你单身在外打拼,忙到忘了用饭,怙恃的德律风过去,也一个劲准许说吃饱了;

你职场受了委曲,进家门前会尽力自我耗费委曲,反反复复压服本身“不要把坏情感带给家人”。

你被善人坑了,上当受骗,孤掌难鸣,在家人眼前,你也会挺直腰板,奉告本身,在他们眼前,你不克不及倒下……

年龄越大,胆子越小 心境感悟 互联网 IT职场 好文分享 第3张

年龄越大,越酿成一个很怂的说谎精,不是能干软弱,其实不外是另一种方法的成熟。

认怂,不外是由于太爱。

起源:互联网

·