小程序安全 查看样例报告>>
WeTest提供多个小程序安全解决方案,对小程序业务系统进行全面测试,提前披露安全风险,为您的小程序安全保驾护航。免费试用 立即预约
渗透测试
支持小程序、H5、公众号(含小游戏),通过模拟黑客攻击的形式,提前发现小程序中业务数据泄露、资产受损、数据被篡改等各类安全风险
安全扫描
覆盖前台代码安全和小程序API使用规范,以及后台业务CGI和WEB框架的安全检测,包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web安全风险
安全加固
提供代码加密、压缩、混淆、反调试、防篡改,支持vmp虚拟化特性,全面保障小程序前端代码安全
适用场景
- 渗透测试
- 安全扫描
- 安全加固
场景痛点1
“简单快捷,不用下载,不占资源”是广大用户使用小程序的最大理由,但随着小程序数量的爆发式增长,其安全风险也逐步显现出来。小程序API使用不规范、与第三方服务器业务逻辑交互有漏洞、服务器数据校验不严谨等情况都有可能导致数据泄露、优惠券盗刷等安全风险。
我们提供的服务
WeTest提供专门针对小程序的渗透测试,使用独家自研测试工具,以模拟黑客攻击的形式,对小程序业务系统进行渗透测试,提前披露安全风险,为您的小程序安全保驾护航。
场景痛点2
用户在小程序的个人信息,遭到了窃取,严重影响个人隐私。 详情:微信小程序的标准API调用时有严格的校验要求,如果小程序没有严格遵守这些调用要求,会出现用户信息被获取的情况,会造成非常不良的影响。
我们提供的服务
小程序扫描覆盖前台代码安全和API使用规范,以及业务CGI和对WEB框架和的安全检测,包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式。
场景痛点3
小程序购买入口遭到攻击,价格被绕过和篡改。 详情:微信小程序在没有进行加固之前,字符串、属性、函数调用、变量等信息都属于明文状态,攻击者可以根据明文信息分析前端代码逻辑,从而篡改本身 小程序页面出现恶意病毒和流氓广告,严重影响用户安全与体验。 详情:攻击者在获取前端代码逻辑后,在小程序中植入广告,病毒等内容,影响使用用户的环境安全,也影响政务平台的优良口碑。 的正常的业务逻辑。
我们提供的服务
小程序加固在不改变应用源代码的情况下,针对小程序前端代码进行加密。实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度。
WeTest小程序渗透测试特色
独家自研工具
独家自研小程序渗透测试工具,针对小程序进行全方位渗透测试,提前披露安全风险
专家经验
由实战经验丰富的腾讯安全专家测试团队亲自执行,针对不同行业进行精准安全测试
星级标准
对实施质量进行严格把控,以最高的标准提供放心的安全服务
方便安全
无需接入SDK,对小程序本身无影响;高度私密性,不公开任何漏洞细节
小程序渗透测试流程
02
启动(1个工作日)
- 提交材料
- 企业提交业务流程、测试账号、测试环境
03
执行(5-8个工作日)
- 风险分析
- 熟悉游戏,进行风险分析,设计测试风险点
- 漏洞挖掘
- 安全测试专家分组进行安全渗透测试,提交漏洞
04
完成(1-3个工作日)
- 报告汇总
- 汇总各维度风险评估结果、漏洞及漏洞修复建议,发送报告
WeTest小程序安全扫描特色
客户端代码安全检测
静态扫描小程序客户端代码,检测客户端是否有敏感信息泄露、代码保护强度是否足够等
服务器安全检测
通过对服务器环境进行扫描,检测服务器是否使用的有漏洞或易被攻击的软件,是否存在不合理的服务配置等
业务逻辑安全检测
对小程序业务的安全性进行检查,检查业务是否存在风险,拥有何种权限,是否含有广告等
小程序特有安全检测
检测小程序调用微信的API是否符合规范,是否有客户信息或会话信息泄露等风险
WeTest小程序安全加固特色
防逆向
通过对JS文件中的变量名进行无意义混淆,降低代码可读性,使代码不易被逆向分析
防篡改
可避免包内被修改后所有代码类文件进行二次打包
防调试
实时检测程序调试状态,防止代码逻辑暴露
防调试
对字符串进行加密,防止本地数据文件被窃取
文档与帮助
