小程序安全FAQ
更新于: 2024-03-29 15:16小程序安全测试FAQ
小程序安全扫描
Q1:什么是小程序安全扫描?
专门针对小程序前端和后台WEB端整体的提供的自动化风险检测工具,覆盖前台代码安全和API使用规范,以及业务CGI和对WEB框架和的安全检测,包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式。
Q2:小程序安全扫描主要解决什么问题?
小程序具有开发轻量级的特点,故迭代速度较APP也更加快速。同时,小程序安全没有像APP一样成熟的安全体系,对微信API调用不规范、业务逻辑不严谨等都有可能造成严重的安全漏洞,造成用户数据泄露、中间人攻击等安全事故。因此,在新版本小程序发布前,对其进行全面完善的安全检测极为必要
Q3:小程序安全扫描如何提供服务?
公有云服务只需提供APPID等基本信息,即可对小程序进行安全检测,及时发现潜在安全风险。小程序安全扫描也可部署至客户本地。
小程序安全渗透
Q1:渗透测试对小程序本身有影响吗?
渗透测试是以模拟黑客攻击的形式,对小程序本身无任何影响。
Q2:测出漏洞后该怎么办?
我们会在报告中提供对应的漏洞修复建议,帮助客户快速修复漏洞。
Q3:多久能出测试报告?
一般来说3-5天可出渗透测试报告,如果客户有紧急需求可协商加急交付。
Q4: 什么是小程序安全渗透?
小程序渗透测试,为企业产品提供全面的渗透测试服务,以模拟黑客攻击的形式,提前预知各类业务数据泄露,券币盗刷、资产受损、数据被篡改等各类安全风险。
Q5: 小程序安全渗透主要解决什么问题?
小程序市场规模和用户数量持续增长,随之也不断涌现出海量一站式小程序技术支持平台,小程序外包化开发和部署成为了大多数产商的选择,快速开发迭代、架构和代码安全性差、缺少深入测试等产业原因,加之外部越来越多黑客人员、不法工作室涉足小程序蓝海市场,导致小程序数据泄露、薅羊毛、山寨仿冒等安全问题逐渐增多。
小程序安全加固
Q1:加固的使用场景?
敏感数据信息、核心算法逻辑、版权内容等需要保护,等保2.0、人行146号文等政策合规要求。
Q2:加固对性能的影响?
与加固保护的内容、大小和数量有关,一般对启动速度影响很小。
Q3:加固后包体大小的变化?
与加固保护的内容、大小和数量有关,一般不超过原包10%,甚至部分应用加固后包体变小。
Q4:应用开发的工作量及接入成本?
小程序加固只需提交代码包即可;部署及使用成本低
Q5:什么是小程序安全加固?
小程序加固是针对小程序前端代码的加密服务,用户只需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度,从而保护小程序代码安全。
Q6:小程序不进行加固会面临什么样的问题?
虽然微信为小程序提供了相对安全的环境,但小程序仍存在大量被破解、核心代码被盗取,从而导致仿冒小程序层出不穷的现象。同时,市面上暂无专门针对小程序的一键加固产品,小程序很难得到像APP一样的安全保障。
Q7: 小程序安全加固有什么优势?
性能、兼容性表现优秀:对页面加载时间影响低于6%,热门Top300机型上正常运行,加固方案不涉及兼容性问题;一键加固、支持私有化部署;使用加固工具一键完成加固工作程序,支持无网络下私有化部署使用.
小程序资产排查
Q1:资产普查和资产相似度检测的准确率如何?
WeTest资产排查服务采用了先进的算法和技术,经过大量数据验证和测试,避免误报和漏报的情况发生。我们承诺检测结果精准、可靠,确保客户能够及时发现和处理仿冒小程序。
Q2:你们的产品如何保证数据安全和隐私保护?
基于十余年的服务经验,WeTest沉淀出一套完善的信息安全服务防控体系。我们严格遵守相关的数据保护和隐私法规。在检测过程中,我们不会存储或分享您的数据,我们的服务旨在排查和检测,而非获取您的用户数据。在人员层面,参与检测的人员均与公司签署劳动合同和保密协议。
Q3:需要客户配合和提供什么?
购买产品后客户仅需要提供资产排查关键词(包含精准的小程序名称和模糊的关键词)和认证主体。
Q4:检测过程会影响小程序性能吗?
不会,检测是非侵入的方式,对小程序的性能影响极小,不会影响到用户体验。
Q5:购买产品后,你们会提供哪些技术支持和售后服务?
我们的技术团队将为客户提供及时、专业的技术支持,解决在使用过程中遇到的问题。
Q6:交付形式和交付时间是什么?
交付形式为两个报告:《小程序资产排查报告》和《小程序资产相似度检测报告》。报告可以以电子文档的形式提供给客户,也可以根据客户的需求进行定制化的报告形式和内容。交付时长根据客户关键词的数量和检索后数据量的大小来确定的。一般来说,对于较小的数据量和简单的关键词范围,交付时长可能会较短;而对于较大的数据量和复杂的关键词范围,交付时长可能会较长。一般情况下,在5个工作日内完成。
