腾讯云安全鱼勇:小程序安全问题主要在三个方面
移动支付网 2020/11/5 10:57:19

11月3日,由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳召开,腾讯云安全架构师鱼勇在会上分析了当下小程序出现的安全问题,并提出了相关解决思路。

据了解,截至2019年底,第三方统计平台发布的报告显示,微信小程序C端用户达到近3亿,小程序数量达到近百万,累计用户量达到6亿。诸多金融机构也纷纷推出小程序,以满足用户需求。

鱼勇介绍,由于小程序开发门槛低,开发质量参差不齐,其中隐藏着大量安全问题,例如盗刷资金或优惠券、脱库和信息泄露、业务数据篡改、黑客仿冒正常用户、获取未授权资源、恶意植入木马或病毒等等诸多问题。

问题多集中在三个方面:

1、小程序与微信交互存在安全问题。与微信的交互只能使用其提供的API进行,对这些API规范的使用会导致安全问题;

2、小程序与第三方服务器的业务逻辑交互存在问题。这是安全最薄弱的环节,业务逻辑多种可能存在风险或漏洞,如用户信息泄漏、订单盗刷、信息安全;

3、第三方服务器Web服务风险。Web服务器中存在的风险,如存储型XSS攻击、SQL注入、管理员口令泄露。

具体的风险包括,薅羊毛、仿冒山寨、数据爬取等问题。以恶性的薅羊毛为例,由于产品开发设计上未妥善考虑安全问题,相关机构直接在小程序上进行红包、优惠券等形式的营销,那么会给黑产可乘之机,比如可以通过恶意下单等方式来“薅羊毛”,使得客户的营销引流效果大打折扣,50%-80%的营销资金都可能会因此而浪费。

对此,腾讯也推出了小程序安全保护方案,通过自动化的检测技术,保障小程序安全。主要内容检测内容包括客户端代码安全检测、服务器安全检测、业务逻辑安全检测、小程序特有安全检测。

在小程序的安全加固方面,鱼勇介绍,小程序加固是针对HTML和Javascript的加密服务,用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度,从而保护小程序代码安全。

而面对小程序安全问题,鱼勇透露,腾讯已经将小程序纳入整个安全开发当中,以保证小程序开发跟传统大型软件开发和互联网软件开发,能够达到同样水平。此外,许多银行、保险、证券公司,都已经将小程序安全纳入到整个开发流程当中,以避免出现安全问题。鱼勇同时也呼吁,金融相关企业需重视小程序安全。


展开全文
相关阅读
资讯查询取消