據(jù)了解���,第三方統(tǒng)計平臺發(fā)布的報告顯示,微信小程序C端用戶達到近3億�,小程序數(shù)量達到近百萬,累計用戶量達到6億�����。諸多金融機構(gòu)也紛紛推出小程序�����,以滿足用戶需求��。
魚勇介紹���,由于小程序開發(fā)門檻低,開發(fā)質(zhì)量參差不齊�,其中隱藏著大量安全問題,例如盜刷資金或優(yōu)惠券����、脫庫和信息泄露、業(yè)務(wù)數(shù)據(jù)篡改、黑客仿冒正常用戶�、獲取未授權(quán)資源、惡意植入木馬或病毒等等諸多問題���。
問題多集中在三個方面:
1��、小程序與微信交互存在安全問題。與微信的交互只能使用其提供的API進行����,對這些API規(guī)范的使用會導(dǎo)致安全問題;
2�、小程序與第三方服務(wù)器的業(yè)務(wù)邏輯交互存在問題。這是安全最薄弱的環(huán)節(jié)����,業(yè)務(wù)邏輯多種可能存在風(fēng)險或漏洞,如用戶信息泄漏���、訂單盜刷���、信息安全;
3�、第三方服務(wù)器Web服務(wù)風(fēng)險。Web服務(wù)器中存在的風(fēng)險���,如存儲型XSS攻擊����、SQL注入��、管理員口令泄露���。
具體的風(fēng)險包括,薅羊毛�、仿冒山寨、數(shù)據(jù)爬取等問題����。以惡性的薅羊毛為例,由于產(chǎn)品開發(fā)設(shè)計上未妥善考慮安全問題���,相關(guān)機構(gòu)直接在小程序上進行紅包���、優(yōu)惠券等形式的營銷��,那么會給黑產(chǎn)可乘之機,比如可以通過惡意下單等方式來“薅羊毛”��,使得客戶的營銷引流效果大打折扣�����,50%-80%的營銷資金都可能會因此而浪費�����。
對此�����,騰訊也推出了小程序安全保護方案����,通過自動化的檢測技術(shù),保障小程序安全��。主要內(nèi)容檢測內(nèi)容包括客戶端代碼安全檢測�����、服務(wù)器安全檢測���、業(yè)務(wù)邏輯安全檢測�、小程序特有安全檢測����。
在小程序的安全加固方面,魚勇介紹��,小程序加固是針對HTML和java script的加密服務(wù)����,用戶只需將代碼(路徑或文件)傳遞給加密工具��,即可實現(xiàn)字符串加密�����、屬性加密�、調(diào)用轉(zhuǎn)換、代碼混淆等多項保護措施���,提高攻擊者分析H5前端代碼邏輯的難度�,從而保護小程序代碼安全�����。
而面對小程序安全問題,魚勇透露�����,騰訊已經(jīng)將小程序納入整個安全開發(fā)當中�����,以保證小程序開發(fā)跟傳統(tǒng)大型軟件開發(fā)和互聯(lián)網(wǎng)軟件開發(fā)����,能夠達到同樣水平。此外�,許多銀行、保險�、證券公司,都已經(jīng)將小程序安全納入到整個開發(fā)流程當中�,以避免出現(xiàn)安全問題。魚勇同時也呼吁����,金融相關(guān)企業(yè)需重視小程序安全。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
