01風險場景及防護
1)仿冒山寨
微信小程序通過唯一的AppID來識別開發(fā)者身份。目前小程序源碼加密技術尚不完善����,不法分子會通過逆向等方式竊取核心代碼�����。此時使用不同的AppID�����,就有可能繞過官方的上線審核流程����,實現(xiàn)仿冒。加上小程序可以通過“裂變”“社交分享”等方式傳播��,往往會有“山寨小程序”比“正牌”傳播更快���、使用者更多的現(xiàn)象�����。
2)薅羊毛
小程序已經成為商家整合碎片化消費場景的常見方案。商家通過小程序發(fā)送紅包���、優(yōu)惠券進行營銷引流獲客�����。黑產從業(yè)者則利用小程序敏感信息驗證規(guī)則缺失的特點��,通過虛假注冊�����、惡意下單等方式“薅羊毛”��。這讓商家的營銷引流效果大打折扣�����,50%-80%的營銷資金都可能會因此而浪費��。
3)數(shù)據(jù)泄露
若小程序登錄接口使用http�����,不法分子可提取登錄接口的請求內容���,然后構造不同的手機號碼和密碼組合嘗試強行登錄�����,從而導致用戶信息失竊�。此外���,小程序的一鍵分享���、客服消息����、模板消息模塊均支持以文本形式導出輸入內容��,這也極大增加了相關數(shù)據(jù)在傳輸���、使用過程中被爬蟲軟件抓取的風險。
02小程序安全防護
為提升小程序安全系數(shù)�,降低運營者及用戶承擔的風險,天融信提供微信小程序一站式安全服務解決方案����。其中包括小程序敏感數(shù)據(jù)安全評估�、小程序內容安全風險評估、小程序源代碼安全審計����、開發(fā)者后端服務器安全測試等全業(yè)務鏈安全測試服務��,有效管控小程序垃圾注冊����、盜號登錄�����、撞庫攻擊����、虛假交易��、數(shù)據(jù)泄露等風險����。
1)小程序敏感數(shù)據(jù)安全評估
天融信根據(jù)數(shù)據(jù)安全合規(guī)評估要點��,對小程序敏感數(shù)據(jù)流通重點環(huán)節(jié)開展評估工作����。同時��,根據(jù)《信息安全技術—數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)開展數(shù)據(jù)全生命周期評估(包括但不限于數(shù)據(jù)采集安全����、數(shù)據(jù)傳輸安全���、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全����、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等)�。
2)小程序內容安全風險評估
根據(jù)小程序的開發(fā)特性,對小程序進行滲透測試�����,提前發(fā)現(xiàn)數(shù)據(jù)泄露�、竊取����、篡改等安全風險���。同時協(xié)助小程序開發(fā)和運營者檢測文本�����、圖片是否含有違法違規(guī)或敏感不當內容�����,提升內容審核效率���,確保平臺內容滿足監(jiān)管部門要求�����。
3)小程序源代碼安全審計
昆信通網(wǎng)絡資深技術專家將通過分析閱讀小程序的開發(fā)文檔和源代碼,對程序中存在的不合理業(yè)務邏輯和安全漏洞進行檢測���,并對發(fā)現(xiàn)的安全漏洞進行人工驗證��,給出有效的整改建議。對源代碼的審計工作�,能夠充分挖掘當前代碼中存在的安全缺陷����,同時減少因開發(fā)人員不規(guī)范的工作習慣導致的安全問題����,有效的提高小程序代碼層面的安全性�����。
4)開發(fā)者后端服務器安全測試
昆信通網(wǎng)絡采用工具掃描�、腳本收集、手工核查等方式��,對服務器的操作系統(tǒng)�����、中間件�����、數(shù)據(jù)庫進行全面檢查及重點抽樣調查���,檢測服務器是否使用了有漏洞或易被攻擊的軟件,是否存在不合理的服務配置���,確保檢測工作能夠全面覆蓋服務器所在環(huán)境的網(wǎng)絡層����、操作系統(tǒng)層、中間件層���、WEB應用層���、數(shù)據(jù)庫層。
