首页
学习
活动
专区
圈层
工具
发布
技术百科首页 >小程序安全

小程序安全

修改于 2023-08-31 11:25:10
1426
概述

小程序安全(Mobile Mini Programs Security,MMPS)为用户提供小程序全生命周期的一站式安全解决方案,主要包括小程序隐私合规、安全诊断、加固和小程序安全扫描的功能,并提供公有云和私有化服务。小程序安全目前已广泛应用于新零售、金融、互联网、政务等多个行业,稳定、有效,保障企业或个人的小程序开发建设及运行更加安全便捷。

小程序安全有什么产品功能?

小程序隐私合规

小程序隐私合规对企业或个人小程序进行隐私合规检测,依据相关法律法规、国家标准、行业标准等对小程序进行检测,助力小程序提高安全合规性。

  • 基础版检测服务

小程序隐私合规基础版,主要为微信小程序提供隐私合规检测基础版本服务,基于自动化检测引擎对小程序进行技术检测,协助微信小程序开发者识别小程序当前隐私合规层面的相关基础问题,开发者可自行根据报告进行相关修改。

小程序安全诊断

小程序安全诊断对企业的小程序进行全链路的安全问题排查,并提供专业的诊断报告和修复建议。小程序安全分为基础诊断及深度诊断共2种服务模式。

  • 基础诊断

仅需提供小程序 AppID 即可开始诊断,覆盖代码保护检测、开发测试信息泄漏、编码规范、配置风险、账号安全、用户信息安全、内部信息泄漏、其他类安全共8大检测类型的基础诊断,同时提供全局诊断帮助客户甄别小程序业务场景下营销、交易、隐私合规等潜在风险,涉及小程序运营的隐私内容将会严格保密。

  • 深度诊断

是根据企业的授权对小程序业务系统进行渗透测试,覆盖范围在基础诊断的范围之上又包括营销安全、交易安全、链路安全、内部资产配置泄漏、通用 Web 安全、服务器系统安全、系统安全漏洞、合规安全、UGC 安全,并在诊断报告中提供专业的修复建议,帮助企业识别代码漏洞造成等安全风险。

小程序安全加固

小程序安全提供小程序安全加固功能,在不改变应用源代码的情况下,针对小程序前端代码进行加密,实现字符串加密、属性加密、调用转换、代码混淆、反调试、防破解等多项保护措施,防止代码暴露,提高攻击者分析前端代码逻辑的难度,保护小程序安全。

小程序安全扫描

小程序安全推出小程序安全扫描功能,针对小程序前端和后台 Web 端整体提供的自动化风险检测工具。

小程序安全扫描功能覆盖前台代码安全和 API 使用规范,以及业务 CGI 和对 Web 框架的安全检测,包括对 SQL 注入XSS 跨站脚本目录遍历、信息泄露等主流 Web 攻击方式的防范,提升小程序的安全防护能力。

小程序安全有什么产品优势?

微信 API 规范扫描

小程序安全使用微信 API 的规范检测,可动态识别在 API 使用过程中不合理的传参或服务器交互逻辑,发现用户信息泄露、会话泄露、中间人攻击等问题。

多种动态加密算法

小程序安全拥有的加固能力可保障在不影响程序正常运行的前提下,保护内存中变量和函数逻辑,在函数未执行内存中代码时进行加密,在执行之前解密,并在执行后重新加密,内存中不会出现完整的脚本源代码。另外,内置若干种动态变换加密及解密算法,让破解者难以通过静态或动态手段,进行逆向和调试破解。

强大的兼容能力

小程序安全加固后对页面加载时间影响较低,可以在热门 Top 300 机型(如华为、OPPO、vivo、小米等主流机型)上正常运行,加固方案不涉及兼容性问题。

快速高效低门槛

客户仅需提供小程序 AppID 即可开始基础安全诊断,无需提供源码,快速高效低门槛,同时消除客户源码泄露的顾虑。

聚焦实际场景

小程序安全基于大数据、流式计算、机器学习算法,聚焦实际小程序业务场景中的安全问题,设计针对性的诊断服务项,提升实际业务的安全性。

支持私有化部署

小程序安全支持无网络下私有化部署使用。

小程序安全有什么应用场景?

小程序隐私合规

场景描述

随着互联网的进一步发展,小程序已经作为常用互联网服务的新入口,已全面渗透用户生活,成为数字化时代不可或缺的一部分,小程序在汇聚大量用户个人信息的同时也暴露一些在个人信息收集与使用方面的风险问题,隐私合规问题已经侵害着小程序使用用户的合法权益。

解决方案

小程序隐私合规提供非侵入式检测,仅需提供小程序 AppID 即可开始检测,依据关法律法规、国家标准、行业标准等,对小程序进行静态、动态方式检测,助力企业提高小程序安全合规性。

小程序安全诊断

场景描述

日常小程序业务场景中,存在敏感信息泄漏、业务数据被篡改、恶意病毒植入、未授权或越权访问等因业务系统漏洞引起的安全风险,严重影响业务的正常运行。

解决方案

小程序安全诊断对客户的小程序进行全链路的安全问题排查,并提供专业的诊断报告和修复建议。小程序安全分为基础诊断及深度诊断共2种服务模式。

基础诊断仅需提供小程序 AppID 即可开始诊断,覆盖代码保护检测、开发测试信息泄漏、编码规范、配置风险、账号安全、用户信息安全、内部信息泄漏、其他类安全共8大检测类型。

深度诊断是对客户通过模拟黑客攻击的形式,对小程序业务系统进行渗透测试,覆盖范围在基础诊断的范围之上又包括营销安全、交易安全、链路安全、内部资产配置泄漏、通用 Web 安全、服务器系统安全、系统安全漏洞、合规安全、UGC 安全,并在诊断报告中提供专业的修复建议,帮助企业识别代码漏洞等安全风险。

小程序安全加固

场景描述

小程序前端代码和逻辑设计存在常见风险问题如:代码易被反编译,核心业务逻辑被破译,算法易被二次打包,病毒代码和流氓广告等被恶意植入等,此类风险问题严重影响业务的正常开展,并触及安全法规的要求。

解决方案

小程序安全加固在不改变应用源代码的情况下,针对小程序前端代码进行加密,实现字符串加密、属性加密、调用转换、代码混淆、反调试以及防破解等多项保护措施,防止代码暴露,提高攻击者分析前端代码逻辑的难度,保护小程序安全。

小程序安全扫描

场景描述

在日常小程序业务场景中,存在因微信 API 调用不规范而隐藏的安全风险,及业务逻辑不严谨导致的安全隐患。同时国家对移动互联网的日益重视,不断推出安全法律法规要求企业加强对数据的监管和保护,企业亟需具备一定的安全检测能力。

解决方案

腾讯安全团队推出的小程序安全扫描功能,针对小程序前端和后台 Web 端整体提供的自动化风险检测工具,覆盖前台代码安全和 API 使用规范,以及业务 CGI 和对 Web 框架的安全检测,包括对 SQL 注入、XSS 跨站脚本、目录遍历以及信息泄露等主流 Web 攻击方式的防范,提升小程序的安全防护能力。

词条知识树 (18个知识点)
全部收起
  • 小程序安全加固相关(7个知识点)
  • 小程序安全扫描相关(3个知识点)
  • 小程序安全诊断相关(2个知识点)
  • 小程序隐私合规相关(6个知识点)
相关文章
  • 小程序安全深度选型指南
    440
  • 【限免试用中!】规避小程序安全漏洞,小程序安全测试服务上线
    4.1K
  • 微信小程序安全需求基线
    3.4K
  • 小程序的API安全与防护
    3.4K
  • 理解小程序的安全与管控
    4K
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
领券