行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
小程序安全问题主要在三个方面
2022-02-05 16:40:47 【

据了解,第三方统计平台发布的报告显示,微信小程序C端用户达到近3亿,小程序数量达到近百万,累计用户量达到6亿。诸多金融机构也纷纷推出小程序,以满足用户需求。

鱼勇介绍,由于小程序开发门槛低,开发质量参差不齐,其中隐藏着大量安全问题,例如盗刷资金或优惠券、脱库和信息泄露、业务数据篡改、黑客仿冒正常用户、获取未授权资源、恶意植入木马或病毒等等诸多问题。

问题多集中在三个方面:

1、小程序与微信交互存在安全问题。与微信的交互只能使用其提供的API进行,对这些API规范的使用会导致安全问题;

2、小程序与第三方服务器的业务逻辑交互存在问题。这是安全最薄弱的环节,业务逻辑多种可能存在风险或漏洞,如用户信息泄漏、订单盗刷、信息安全;

3、第三方服务器Web服务风险。Web服务器中存在的风险,如存储型XSS攻击、SQL注入、管理员口令泄露。

具体的风险包括,薅羊毛、仿冒山寨、数据爬取等问题。以恶性的薅羊毛为例,由于产品开发设计上未妥善考虑安全问题,相关机构直接在小程序上进行红包、优惠券等形式的营销,那么会给黑产可乘之机,比如可以通过恶意下单等方式来“薅羊毛”,使得客户的营销引流效果大打折扣,50%-80%的营销资金都可能会因此而浪费。

对此,腾讯也推出了小程序安全保护方案,通过自动化的检测技术,保障小程序安全。主要内容检测内容包括客户端代码安全检测、服务器安全检测、业务逻辑安全检测、小程序特有安全检测。

在小程序的安全加固方面,鱼勇介绍,小程序加固是针对HTML和java script的加密服务,用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度,从而保护小程序代码安全。

而面对小程序安全问题,鱼勇透露,腾讯已经将小程序纳入整个安全开发当中,以保证小程序开发跟传统大型软件开发和互联网软件开发,能够达到同样水平。此外,许多银行、保险、证券公司,都已经将小程序安全纳入到整个开发流程当中,以避免出现安全问题。鱼勇同时也呼吁,金融相关企业需重视小程序安全。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇HTTPS,让你的小程序更安全 下一篇面对越发严峻的网络安全挑战和接..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800