北京天融信科技有限公司
01風(fēng)險(xiǎn)場(chǎng)景及防護(hù)
1)仿冒山寨
微信小程序通過(guò)的AppID來(lái)識(shí)別身份。目前小程序源碼加密技術(shù)尚不完善,不法分子會(huì)通過(guò)逆向等方式竊取核心代碼。此時(shí)使用不同的AppID,就有可能繞過(guò)的上線(xiàn)審核流程,實(shí)現(xiàn)仿冒。加上小程序可以通過(guò)“裂變"“社交分享"等方式傳播,往往會(huì)有“山寨小程序"比“正牌"傳播更快、使用者更多的現(xiàn)象。
2)薅羊毛
小程序已經(jīng)成為商家整合碎片化消費(fèi)場(chǎng)景的常見(jiàn)方案。商家通過(guò)小程序發(fā)送紅包、優(yōu)惠券進(jìn)行營(yíng)銷(xiāo)引流獲客。黑產(chǎn)從業(yè)者則利用小程序敏感信息驗(yàn)證規(guī)則缺失的特點(diǎn),通過(guò)虛假注冊(cè)、惡意下單等方式“薅羊毛"。這讓商家的營(yíng)銷(xiāo)引流效果大打折扣,50%-80%的營(yíng)銷(xiāo)資金都可能會(huì)因此而浪費(fèi)。
3)數(shù)據(jù)泄露
若小程序登錄接口使用http,不法分子可提取登錄接口的請(qǐng)求內(nèi)容,然后構(gòu)造不同的和密碼組合嘗試強(qiáng)行登錄,從而導(dǎo)致用戶(hù)信息失竊。此外,小程序的一鍵分享、客服消息、模板消息模塊均支持以文本形式導(dǎo)出輸入內(nèi)容,這也極大增加了相關(guān)數(shù)據(jù)在傳輸、使用過(guò)程中被爬蟲(chóng)軟件抓取的風(fēng)險(xiǎn)。
02小程序安全防護(hù)
為提升小程序安全系數(shù),降低運(yùn)營(yíng)者及用戶(hù)承擔(dān)的風(fēng)險(xiǎn),天融信提供微信小程序一站式安全服務(wù)解決方案。其中包括小程序敏感數(shù)據(jù)安全評(píng)估、小程序內(nèi)容安全風(fēng)險(xiǎn)評(píng)估、小程序源代碼安全審計(jì)、后端服務(wù)器安全測(cè)試等全業(yè)務(wù)鏈安全測(cè)試服務(wù),有效管控小程序垃圾注冊(cè)、盜號(hào)登錄、撞庫(kù)攻擊、虛假交易、數(shù)據(jù)泄露等風(fēng)險(xiǎn)。
1)小程序敏感數(shù)據(jù)安全評(píng)估
天融信根據(jù)數(shù)據(jù)安全合規(guī)評(píng)估要點(diǎn),對(duì)小程序敏感數(shù)據(jù)流通重點(diǎn)環(huán)節(jié)開(kāi)展評(píng)估工作。同時(shí),根據(jù)《信息安全技術(shù)—數(shù)據(jù)安力成熟度模型》(GB/T 37988-2019)開(kāi)展數(shù)據(jù)全生命周期評(píng)估(包括但不限于數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷(xiāo)毀安全等)。
2)小程序內(nèi)容安全風(fēng)險(xiǎn)評(píng)估
根據(jù)小程序的開(kāi)發(fā)特性,對(duì)小程序進(jìn)行滲透測(cè)試,提前發(fā)現(xiàn)數(shù)據(jù)泄露、竊取、篡改等安全風(fēng)險(xiǎn)。同時(shí)協(xié)助小程序開(kāi)發(fā)和運(yùn)營(yíng)者檢測(cè)文本、圖片是否含有違法違規(guī)或敏感不當(dāng)內(nèi)容,提升內(nèi)容審核效率,確保平臺(tái)內(nèi)容滿(mǎn)足監(jiān)管部門(mén)要求。
3)小程序源代碼安全審計(jì)
天融信技術(shù)專(zhuān)家將通過(guò)分析閱讀小程序的開(kāi)發(fā)文檔和源代碼,對(duì)程序中存在的不合理業(yè)務(wù)邏輯和安全漏洞進(jìn)行檢測(cè),并對(duì)發(fā)現(xiàn)的安全漏洞進(jìn)行人工驗(yàn)證,給出有效的整改建議。對(duì)源代碼的審計(jì)工作,能夠充分挖掘當(dāng)前代碼中存在的安全缺陷,同時(shí)減少因開(kāi)發(fā)人員不規(guī)范的工作習(xí)慣導(dǎo)致的安全問(wèn)題,有效的提高小程序代碼層面的安全性。
4)后端服務(wù)器安全測(cè)試
天融信采用工具掃描、腳本收集、手工核查等方式,對(duì)服務(wù)器的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)進(jìn)行全面檢查及重點(diǎn)抽樣調(diào)查,檢測(cè)服務(wù)器是否使用了有漏洞或易被攻擊的軟件,是否存在不合理的服務(wù)配置,確保檢測(cè)工作能夠全面覆蓋服務(wù)器所在環(huán)境的網(wǎng)絡(luò)層、操作系統(tǒng)層、中間件層、WEB應(yīng)用層、數(shù)據(jù)庫(kù)層。
天融信作為的網(wǎng)絡(luò)安全廠(chǎng)商,多年來(lái)持續(xù)在網(wǎng)絡(luò)安全技術(shù)、病毒防御追蹤等領(lǐng)域投入研究。截至目前,已為國(guó)內(nèi)多家小程序運(yùn)營(yíng)商提供安全測(cè)試服務(wù),為用戶(hù)提供豐富完善的小程序安全運(yùn)行解決方案,助力用戶(hù)保護(hù)數(shù)字化轉(zhuǎn)型時(shí)代的每一個(gè)數(shù)字化應(yīng)用。