客户案例研究：专家渗透测试，洞察电子商务小程序重大交易漏洞

通过WeTest渗透测试服务，某知名零售公司旗下的在线购物类小程序中发现了8处安全风险，其中包括薅羊毛“0元购”的经济损失风险和员工隐私信息泄漏风险等高危漏洞 。 我们的安全专家为客户提供了详细的漏洞报告，提供了较为清晰完整的安全加固方案。在回归测试中，中危以上风险均被解决。小程序整体安全风险等级降低为：低风险。

二、客户介绍：

该客户为某知名零售公司，旗下有一款在线购物类小程序，专注于提供创新的数字化解决方案和个性化购物体验。客户意识到当下他们的小程序正面临着各种潜在的网络攻击和数据泄露风险。为了保护自身业务和品牌客户的利益，客户决定进行一次全面的安全渗透测试，评估小程序系统的安全风险和加固方案。

三、业务痛点：

• 内部技术人员安全能力欠缺：该客户自有的技术开发人员对安全类测试较为陌生，对各种渗透工具和渗透测试方法不够了解；且对同行业常见的系统和业务漏洞没有较长时间的经验积累认知，无法自行进行全面系统渗透，很有可能漏查安全漏洞。
• 安全工具和学习成本较高：市场安全工具和安全策略迭代较快，各种工具专注的漏洞种类也不同；随着黑灰产的增多，也在随时更新各种能力。若由内部开发人员进行即刻的学习，时间和金钱成本都较大。
• 自主开发导致业务盲点：内部员工对小程序系统比较了解，对自身业务有固有认知；但可能因为这种高度了解，从而产生检测和渗透测试的盲点。

四、WeTest解决方案：

• 专业黑客思维和调适手段：WeTest渗透专家对客户小程序的通用web安全、服务器系统安全、服务组件安全、程序代码安全、业务逻辑安全等多方面内容进行静态、动态的人工渗透测试，以获取小程序使用过程数据、用户数据的输入、存储处理、网络传输以及所处系统环境等方面的安全隐患，为小程序安全加固提供专业的可靠依据。
• 围绕零售业务定制检查项：WeTest运用自身在零售/在线购物类小程序的业务漏洞积累，针对客户的小程序和重点业务流程定制了92个检查项，包括基线检查、数据验证、数据传输、授权、认证、会话管理等。
• 业务开发角度进行逆向分析：WeTest安全团队将小程序逆向后从开发人员角度分析程序业务逻辑，能够深入研究应用程序的内部逻辑和实现细节，从而发现可能存在的漏洞和安全问题。通过分析源代码，可以识别潜在的输入验证不足、缓冲区溢出、身份验证问题等，这些问题可能无法通过传统的黑盒测试方法发现。
• 高级攻击和漏洞利用：WeTest安全团队具备广泛的渗透测试技能和经验，并在高级攻击和漏洞利用方面展现出色的能力。通过深入了解目标系统的内部工作原理和逻辑，我们能够开发定制化的攻击工具和利用代码，以验证系统的安全性，例如本次实施通过逆向、猜解、组合多处安全风险的方式发现两种0元购买赠品的安全漏洞。
• 清晰详尽的渗透测试报告和解读：WeTest安全团队提供详尽的测试报告和修复建议，并且通过远程会议的方式向客户讲解每一处安全风险的原理、利用方式、危害和修复建议。致力于帮助客户提高程序和数据资产的安全性。

五、业务结果：

WeTest渗透测试小组经全面安全评估后，评定该客户的在线购物小程序风险级别为：高风险。

• 测试结果共发现8处安全风险：高危2、中危5、低危1

如下为部分风险举例：

• WeTest针对该小程序的漏洞均提出了相应的解决方案，如下为部分示例

漏洞1：WeTest安全团队发现购物车接口对参数校验不严格，会造成用户越过赠品不能添加进购物车的限制0元购买赠品，造成较为严重的经济损失。

修复建议：服务端加强参数校验逻辑，禁止赠品ID作为商品ID添加进购物车

漏洞2：WeTest安全团队破解了订单接口的加密方式，发现可通过伪造数据，直接0元购买赠品。

修复建议：增强签名方法复杂度­、订单接口校验商品为空仅有赠品的业务场景。

漏洞3：WeTest安全团队通过逆向，发现可通过伪造小程序的请求令牌，造成爬虫漏洞，导致商品信息被爬取。

修复建议：对小程序源码进行加固，提高破解难度、或将令牌的生成逻辑放到服务端

六、使用的WeTest产品或服务：

渗透测试服务

七、客户评价：

“在我们开发的在线购物类小程序中，腾讯WeTest渗透团队发现并帮助修复了一些系统漏洞，这些漏洞可能会导致严重的经济损失和用户数据泄露。我们对腾讯WeTest的专业团队表示由衷的感谢，他们的努力和专业知识为我们的系统安全性提供了重要保障。未来我们也会持续关注自身应用的安全，定期开展检测，并进行点对点的加固。”

----------------------------------------------------------------