前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【限免试用中!】规避小程序安全漏洞,小程序安全测试服务上线

【限免试用中!】规避小程序安全漏洞,小程序安全测试服务上线

作者头像
WeTest质量开放平台团队
发布2020-03-23 14:10:16
2.8K0
发布2020-03-23 14:10:16
举报
文章被收录于专栏:WeTest质量开放平台团队的专栏

导语

  疫情对2020年的中国经济产生了很大的影响。旅游,航空,餐饮都遭受重创,春节档电影全部下架,线下娱乐产业也遇到寒潮。

  但是寒潮的反面,总有一些行业获得了发展的良机。

  在线教育,远程办公,医疗,生鲜电商,政务等行业取得了蓬勃发展。基于小程序开发,运营,维护成本低等特点,各行业的目光纷纷聚集于此,平台小程序的上线引导了大量的用户流量。

  然而在业务飞速发展的背后,一些过去没有被重视的安全问题被不断放大,流氓软件,广告病毒等体验问题时刻威胁用户的信息安全,影响小程序平台的公信力。WeTest通过小程序安全测试能力的开发,上线了小程序安全加固以及小程序安全扫描,帮助疫情期间快速构建的小程序功能规避潜在的安全漏洞风险。

“政务与公共服务领域数字化更要重视信息安全”——规避小程序的安全风险

  为了更好的对抗疫情,各地都推出了政务服务平台小程序,提供了诸多的便民功能,比如在线问诊,在线健康登记,在线事务办理,提供疫情预防、自查以及就医指引等服务;而诸多医疗小程序,也提供了口罩紧急购买的入口。

  诸多线上服务,包含了海量的用户数据,也包括了不少支付信息。为了用户所有信息数据安全,不被篡改和窃取,在线下单不出现“薅羊毛“等现象,腾讯WeTest联合腾讯移动安全,加入了腾讯发起的“战疫开发者公益联盟”,提供小程序加固和安全扫描功能,帮助这些便民小程序远离安全风险,避免舆论和公关危机,保护广大市民和用户的利益。

  疫情期间相关行业的小程序在流量明显提升的时候,主要面临着以下安全风险:

01

市民用户信息泄漏

  小程序中若含有数据泄漏的问题,可能导致海量市民用户的身份证、手机号、居住地址、账号密码等私人信息泄漏。从安全角度看,引起信息泄漏的原因有多种,包括水平越权、弱口令、数据库入侵、服务器入侵、命令任意执行、任意文件读取等。

  除市民用户信息泄漏之外,密钥、用户会话标示、证书、代码程序文件、配置文件、日志文件等都属于敏感信息,一旦存在泄漏漏洞,同样可能造成很大影响。

  所以,在为市民用户提供便捷的数字化、信息化线上服务的同时,系统的安全也成了不容忽视的重要一环。

02

小程序业务安全漏洞

  由于疫情期间,政务相关的小程序流量非常大,而相关小程序类型主要包括疫情防控物资预约、社区居民申报、违法违规举报、以及防护资讯。针对不同疫情小程序业务类型安全风险也存在多样性,例如突破口罩物资申购数量、金额、起始时间等限制,不法者大量购买、重复购买,实现非法套利。

03

小程序仿冒、恶意植入风险

  众多疫情相关小程序相继发布,同时也不可排除有仿冒、恶意小程序混迹其中,出现广告、钓鱼、恶意植入等风险。通过对小程序进行安全加固、代码混淆等保护,可以一定程度保护官方代码资源免遭窃取和调试分析。

  为了保障疫情期间,政企、医疗等各领域小程序安全使用和运行,腾讯WeTest提供了小程序加固和安全扫描服务,以规避以上风险。

腾讯WeTest安全解决方案

1)小程序加固解决方案

  WeTest小程序加固是针对小程序前端代码的加密服务,用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度,从而保护小程序代码安全。

  另外,这个小程序加固方案页面加载时间影响低于6%,市场热门Top300机型上均可正常运行。在无网络的状态下,同样支持私有化的部署。

  附加固前后效果对比:

2)小程序安全扫描解决方案

  WeTest小程序安全扫描是专门针对小程序前端和后台WEB端整体的提供的自动化风险检测工具,覆盖前台代码安全和API使用规范,以及业务CGI和对WEB框架和的安全检测,包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式。

关于腾讯WeTest的小程序测试解决方案

  腾讯WeTest与微信形成了长期合作, 在微信小程序对内对外审核均提供了优质的测试能力,基于此,WeTest沉淀了一套完整有效的小程序测试服务解决方案。

  针对部分行业,腾讯WeTest基于市场小程序的数据情况,确认了兼容、性能、安全、舆情等四大块质量监测维度,并制定了严格的上线标准,标准选择了“首屏加载时间”“响应时间”“适配通过率”“安全漏洞定级”等各类与用户体验息息相关的指标,保障小程序上线后不会因为糟糕的用户体验而流失,影响品牌形象。

  疫情期间,腾讯WeTest为多个城市的30+款医疗和政务小程序提供了性能、安全测试和分析服务,旨在保障疫情期间相关行业小程序服务的正常运转和业务安全。

限免试用活动

目前完成企业认证的企业用户可获取一次免费的扫描服务!

立即点击阅读原文,咨询客服了解详情★

关于腾讯WeTest

腾讯WeTest是由腾讯官方推出的一站式品质开放平台。十余年品质管理经验,致力于质量标准建设、产品质量提升。腾讯WeTest为移动开发者提供兼容性测试、云真机、性能测试、安全防护、企鹅风讯(舆情分析)等优秀研发工具,为百余行业提供解决方案,覆盖产品在研发、运营各阶段的测试需求,历经千款产品磨砺。金牌专家团队,通过5大维度,41项指标,360度保障您的产品质量。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-03-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯WeTest 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
移动应用安全
移动应用安全(Mobile Application Security,MS)针对移动应用普遍存在的破解、篡改、重打包等各类安全风险,提供Android应用加固、iOS源码混淆、SDK加固等多种加固技术,拥有丰富的行业经验,已服务于金融、互联网、车联网、物联网,运营商等多个行业。稳定、简单、有效,让移动安全建设不再是一种负担。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档