随着小程序用户规模的不断扩大,各个银行也纷纷开发了专属的小程序作为服务用户的重要渠道,但在安全建设上也存在一定挑战。
根据《2020年中国互联网网络安全报告》显示,国家计算机网络应急技术处理协调中心从程序代码安全、服务交互安全、本地数据安全、网络传输安全、安全漏洞等5个维度,对国内50家银行发布的小程序进行了安全性检测。检测结果显示,平均1个小程序存在8项安全风险,60%未进行设备/信息传输加密……
尽管小程序具有天然的安全保护能力,但是不当的开发和安全管控体系的缺失仍然会导致小程序安全事件频发。交易场中的小程序,普遍存在着代码未加固、代码信息泄漏、SQL注入、隐私数据泄露等严重风险。
WeTest小程序安全服务今年对近十家金融类小程序进行安全诊断,结果发现这些小程序普遍存在代码可被逆向分析和破解利用的风险,部分还同时出现了加密key/token泄露风险以及用户信息安全问题。不难看出的是,企业开发小程序的安全挑战并不是单点式的风险集中爆发,而是和APP一样——从开发到测试,再到上线和运维等全生命周期阶段——都需要配备安全防护以及系统性的安全体系建设。针对金融行业出现的问题,WeTest小程序安全服务提供从帮助发现问题到全面解决问题的安全解决方案服务,实现“诊断+巩固的”一站式安全保障。
安全诊断
对于摸不清自身小程序安全家底的企业而言,通过全面的安全诊断发现“病因”。WeTest小程序安全服务可以提供系统的安全诊断,针对应用前端和后台WEB端整体提供的自动化风险检测工具,覆盖前台代码安全、用户隐私安全和业务信息泄露,以及业务CGI和对WEB框架的安全检测,包括SQL注入、XSS跨站脚本、信息泄露等主流Web攻击方式。
代码加固
针对小程序体检结果的脆弱项,借助安全加固针对性地解决问题。WeTest小程序安全服务提供便捷的代码加固服务——用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析前端代码逻辑的难度,从而保护代码安全以及用户数据隐私安全。
针对小程序的应用场景,WeTest独家自研了小程序安全解决方案,基于多年的安全沉淀,从营销场景、技术防护、性能保护、合规遵从、售后服务等五大环节拆解,保障小程序的全链路场景安全。去年疫情期间,大量公共服务小程序普遍需要在1-3天的极限时间完成开发上线,并快速进行服务功能的迭代和升级。面对极限时间的安全挑战,WeTest小程序安全方案帮助这批小程序实现了上线0事故,0风险。
目前,WeTest小程序安全服务针对企业认证的用户,可优先提供友情免费基础安全扫描诊断服务。无需企业提供源代码,即可低门槛快速获得自身在客户端代码安全检测、开发测试信息泄露、账号安全、用户信息安全等维度的“体检报告”。
获取免费基础安全扫描诊断请扫码咨询客服
客服电话:0755-86013388-22126
客服QQ:2746728701
工作时间(周一至周五9:30-18:30)