01风险场景及防护
1)仿冒山寨
微信小程序通过唯一的AppID来识别开发者身份。目前小程序源码加密技术尚不完善,不法分子会通过逆向等方式窃取核心代码。此时使用不同的AppID,就有可能绕过官方的上线审核流程,实现仿冒。加上小程序可以通过“裂变”“社交分享”等方式传播,往往会有“山寨小程序”比“正牌”传播更快、使用者更多的现象。
2)薅羊毛
小程序已经成为商家整合碎片化消费场景的常见方案。商家通过小程序发送红包、优惠券进行营销引流获客。黑产从业者则利用小程序敏感信息验证规则缺失的特点,通过虚假注册、恶意下单等方式“薅羊毛”。这让商家的营销引流效果大打折扣,50%-80%的营销资金都可能会因此而浪费。
3)数据泄露
若小程序登录接口使用http,不法分子可提取登录接口的请求内容,然后构造不同的手机号码和密码组合尝试强行登录,从而导致用户信息失窃。此外,小程序的一键分享、客服消息、模板消息模块均支持以文本形式导出输入内容,这也极大增加了相关数据在传输、使用过程中被爬虫软件抓取的风险。
02小程序安全防护
为提升小程序安全系数,降低运营者及用户承担的风险,天融信提供微信小程序一站式安全服务解决方案。其中包括小程序敏感数据安全评估、小程序内容安全风险评估、小程序源代码安全审计、开发者后端服务器安全测试等全业务链安全测试服务,有效管控小程序垃圾注册、盗号登录、撞库攻击、虚假交易、数据泄露等风险。
1)小程序敏感数据安全评估
天融信根据数据安全合规评估要点,对小程序敏感数据流通重点环节开展评估工作。同时,根据《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)开展数据全生命周期评估(包括但不限于数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等)。
2)小程序内容安全风险评估
根据小程序的开发特性,对小程序进行渗透测试,提前发现数据泄露、窃取、篡改等安全风险。同时协助小程序开发和运营者检测文本、图片是否含有违法违规或敏感不当内容,提升内容审核效率,确保平台内容满足监管部门要求。
3)小程序源代码安全审计
昆信通网络资深技术专家将通过分析阅读小程序的开发文档和源代码,对程序中存在的不合理业务逻辑和安全漏洞进行检测,并对发现的安全漏洞进行人工验证,给出有效的整改建议。对源代码的审计工作,能够充分挖掘当前代码中存在的安全缺陷,同时减少因开发人员不规范的工作习惯导致的安全问题,有效的提高小程序代码层面的安全性。
4)开发者后端服务器安全测试
昆信通网络采用工具扫描、脚本收集、手工核查等方式,对服务器的操作系统、中间件、数据库进行全面检查及重点抽样调查,检测服务器是否使用了有漏洞或易被攻击的软件,是否存在不合理的服务配置,确保检测工作能够全面覆盖服务器所在环境的网络层、操作系统层、中间件层、WEB应用层、数据库层。
微信扫一扫
