【限免试用中！】规避小程序安全漏洞，小程序安全测试服务上线

导语

　　疫情对2020年的中国经济产生了很大的影响。旅游，航空，餐饮都遭受重创，春节档电影全部下架，线下娱乐产业也遇到寒潮。

　　但是寒潮的反面，总有一些行业获得了发展的良机。

　　在线教育，远程办公，医疗，生鲜电商，政务等行业取得了蓬勃发展。基于小程序开发，运营，维护成本低等特点，各行业的目光纷纷聚集于此，平台小程序的上线引导了大量的用户流量。

　　然而在业务飞速发展的背后，一些过去没有被重视的安全问题被不断放大，流氓软件，广告病毒等体验问题时刻威胁用户的信息安全，影响小程序平台的公信力。WeTest通过小程序安全测试能力的开发，上线了小程序安全加固以及小程序安全扫描，帮助疫情期间快速构建的小程序功能规避潜在的安全漏洞风险。

“政务与公共服务领域数字化更要重视信息安全”——规避小程序的安全风险

　　为了更好的对抗疫情，各地都推出了政务服务平台小程序，提供了诸多的便民功能，比如在线问诊，在线健康登记，在线事务办理，提供疫情预防、自查以及就医指引等服务；而诸多医疗小程序，也提供了口罩紧急购买的入口。

　　诸多线上服务，包含了海量的用户数据，也包括了不少支付信息。为了用户所有信息数据安全，不被篡改和窃取，在线下单不出现“薅羊毛“等现象，腾讯WeTest联合腾讯移动安全，加入了腾讯发起的“战疫开发者公益联盟”，提供小程序加固和安全扫描功能，帮助这些便民小程序远离安全风险，避免舆论和公关危机，保护广大市民和用户的利益。

　　疫情期间相关行业的小程序在流量明显提升的时候，主要面临着以下安全风险：

01

市民用户信息泄漏

　　小程序中若含有数据泄漏的问题，可能导致海量市民用户的身份证、手机号、居住地址、账号密码等私人信息泄漏。从安全角度看，引起信息泄漏的原因有多种，包括水平越权、弱口令、数据库入侵、服务器入侵、命令任意执行、任意文件读取等。

　　除市民用户信息泄漏之外，密钥、用户会话标示、证书、代码程序文件、配置文件、日志文件等都属于敏感信息，一旦存在泄漏漏洞，同样可能造成很大影响。

　　所以，在为市民用户提供便捷的数字化、信息化线上服务的同时，系统的安全也成了不容忽视的重要一环。

02

小程序业务安全漏洞

　　由于疫情期间，政务相关的小程序流量非常大，而相关小程序类型主要包括疫情防控物资预约、社区居民申报、违法违规举报、以及防护资讯。针对不同疫情小程序业务类型安全风险也存在多样性，例如突破口罩物资申购数量、金额、起始时间等限制，不法者大量购买、重复购买，实现非法套利。

03

小程序仿冒、恶意植入风险

　　众多疫情相关小程序相继发布，同时也不可排除有仿冒、恶意小程序混迹其中，出现广告、钓鱼、恶意植入等风险。通过对小程序进行安全加固、代码混淆等保护，可以一定程度保护官方代码资源免遭窃取和调试分析。

　　为了保障疫情期间，政企、医疗等各领域小程序安全使用和运行，腾讯WeTest提供了小程序加固和安全扫描服务，以规避以上风险。

腾讯WeTest安全解决方案

1）小程序加固解决方案

　　WeTest小程序加固是针对小程序前端代码的加密服务，用户只需将代码(路径或文件)传递给加密工具，即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施，提高攻击者分析H5前端代码逻辑的难度，从而保护小程序代码安全。

　　另外，这个小程序加固方案页面加载时间影响低于6%，市场热门Top300机型上均可正常运行。在无网络的状态下，同样支持私有化的部署。

　　附加固前后效果对比：

2）小程序安全扫描解决方案

　　WeTest小程序安全扫描是专门针对小程序前端和后台WEB端整体的提供的自动化风险检测工具，覆盖前台代码安全和API使用规范，以及业务CGI和对WEB框架和的安全检测，包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式。

关于腾讯WeTest的小程序测试解决方案

　　腾讯WeTest与微信形成了长期合作, 在微信小程序对内对外审核均提供了优质的测试能力，基于此，WeTest沉淀了一套完整有效的小程序测试服务解决方案。

　　针对部分行业，腾讯WeTest基于市场小程序的数据情况，确认了兼容、性能、安全、舆情等四大块质量监测维度，并制定了严格的上线标准，标准选择了“首屏加载时间”“响应时间”“适配通过率”“安全漏洞定级”等各类与用户体验息息相关的指标，保障小程序上线后不会因为糟糕的用户体验而流失，影响品牌形象。

　　疫情期间，腾讯WeTest为多个城市的30+款医疗和政务小程序提供了性能、安全测试和分析服务，旨在保障疫情期间相关行业小程序服务的正常运转和业务安全。

限免试用活动

目前完成企业认证的企业用户可获取一次免费的扫描服务！

★立即点击阅读原文，咨询客服了解详情★

关于腾讯WeTest

腾讯WeTest是由腾讯官方推出的一站式品质开放平台。十余年品质管理经验，致力于质量标准建设、产品质量提升。腾讯WeTest为移动开发者提供兼容性测试、云真机、性能测试、安全防护、企鹅风讯（舆情分析）等优秀研发工具，为百余行业提供解决方案，覆盖产品在研发、运营各阶段的测试需求，历经千款产品磨砺。金牌专家团队，通过5大维度，41项指标，360度保障您的产品质量。