01風險場景及防護
1)仿冒山寨
微信小程序通過唯一的AppID來識別開發者身份。目前小程序源碼加密技術尚不完善,不法分子會通過逆向等方式竊取核心代碼。此時使用不同的AppID,就有可能繞過官方的上線審核流程,實現仿冒。加上小程序可以通過“裂變”“社交分享”等方式傳播,往往會有“山寨小程序”比“正牌”傳播更快、使用者更多的現象。
2)薅羊毛
小程序已經成為商家整合碎片化消費場景的常見方案。商家通過小程序發送紅包、優惠券進行營銷引流獲客。黑產從業者則利用小程序敏感信息驗證規則缺失的特點,通過虛假注冊、惡意下單等方式“薅羊毛”。這讓商家的營銷引流效果大打折扣,50%-80%的營銷資金都可能會因此而浪費。
3)數據泄露
若小程序登錄接口使用http,不法分子可提取登錄接口的請求內容,然后構造不同的手機號碼和密碼組合嘗試強行登錄,從而導致用戶信息失竊。此外,小程序的一鍵分享、客服消息、模板消息模塊均支持以文本形式導出輸入內容,這也極大增加了相關數據在傳輸、使用過程中被爬蟲軟件抓取的風險。
02小程序安全防護
為提升小程序安全系數,降低運營者及用戶承擔的風險,天融信提供微信小程序一站式安全服務解決方案。其中包括小程序敏感數據安全評估、小程序內容安全風險評估、小程序源代碼安全審計、開發者后端服務器安全測試等全業務鏈安全測試服務,有效管控小程序垃圾注冊、盜號登錄、撞庫攻擊、虛假交易、數據泄露等風險。
1)小程序敏感數據安全評估
天融信根據數據安全合規評估要點,對小程序敏感數據流通重點環節開展評估工作。同時,根據《信息安全技術—數據安全能力成熟度模型》(GB/T 37988-2019)開展數據全生命周期評估(包括但不限于數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全等)。
2)小程序內容安全風險評估
根據小程序的開發特性,對小程序進行滲透測試,提前發現數據泄露、竊取、篡改等安全風險。同時協助小程序開發和運營者檢測文本、圖片是否含有違法違規或敏感不當內容,提升內容審核效率,確保平臺內容滿足監管部門要求。
3)小程序源代碼安全審計
昆信通網絡資深技術專家將通過分析閱讀小程序的開發文檔和源代碼,對程序中存在的不合理業務邏輯和安全漏洞進行檢測,并對發現的安全漏洞進行人工驗證,給出有效的整改建議。對源代碼的審計工作,能夠充分挖掘當前代碼中存在的安全缺陷,同時減少因開發人員不規范的工作習慣導致的安全問題,有效的提高小程序代碼層面的安全性。
4)開發者后端服務器安全測試
昆信通網絡采用工具掃描、腳本收集、手工核查等方式,對服務器的操作系統、中間件、數據庫進行全面檢查及重點抽樣調查,檢測服務器是否使用了有漏洞或易被攻擊的軟件,是否存在不合理的服務配置,確保檢測工作能夠全面覆蓋服務器所在環境的網絡層、操作系統層、中間件層、WEB應用層、數據庫層。