數據泄漏、被薅羊毛……小程序數據安全如何保障?
近年來,小程序的發展非常迅速。早在2021年,小程序的數量就已經超過了700萬,越來越多企業將小程序作為 營銷 和交易的主要陣地,以小程序為核心的 商業 生態逐漸變得繁榮起來。
但在商業蓬勃發展的熱鬧場面背后,卻隱藏著業務數據被爬取的危機!
經典場景 一 :敏感數據泄露
某員工通過公司小程序提交了訪客申請,但這個過程的請求包和返回包被攻擊者抓取到了。那么該員工的姓名、 手機 、部門等等隱私信息就全部落入了不法分子手里。除此之外,攻擊者還可以利用截獲的數據發起重放攻擊,后患無窮!
經典場景二:營銷活動遇到 薅 羊毛
某企業為了給產品做營銷,準備了優惠券、秒殺、抽獎等等活動。結果羊毛黨通過設備農場、打碼平臺、群控軟件等方式,將優惠券和獎品一秒搶光。
(活動注冊機)
導致業務數據 被爬取 的原因究竟是什么呢?
國家 互聯網 應急中心曾對一些小程序進行過安全性檢測,發現在程序源代碼暴露關鍵信息和輸入敏感信息時,超過90%的受試小程序都沒有采取防護措施;在個人信息的本地儲存和網絡傳輸過程中,也有超過60%的小程序未進行加密處理。
由此可見,在疏于防范的情況下,黑灰產就可以通過重放攻擊等手段,在小程序端獲取企業的敏感數據信息,嚴重危害企業數據安全;或者盜取企業虛擬資產,妨礙企業正常的營銷活動。
即使小程序的原生安全能力就可以滿足日常需求,但還是無法在安全意識薄弱、黑灰產手段升級的復雜態勢下起到完美的防護作用。
有什么辦法可以實現數據防刷,保障數據安全?
當然是采用騰訊云WAF與 微信 團隊聯合推出的“ 小程序網關 ”(原名:小程序安全加速)啦!
小程序網關是提供了服務加速、服務高可用、Web攻擊防護、DDoS防護、防薅防爬、惡意流量攔截等能力的新一代安全加速服務。
在使用小程序網關之后,小程序的流量將會經由微信專有鏈路關就近接入,使用微信安全全球骨干網傳輸,通過DNS解析請求到WAF/CLB等網關設備,最終回源到小程序服務器。
為了實現數據防刷,小程序網關專門打造了協議防刷、風控防刷兩大特色防護能力,用來保障數據安全和防薅羊毛。
協議防刷,使用了安全穩定的微信私有協議(MMTLS),對數據及接口進行二次封裝加密傳輸,極大提高協議破解和數據爬取門檻,降低業務數據暴露風險。
業務層數據加上MMTLS之后,由MMTLS提供安全保障,保護業務數據。這類似于http加上tls后,變成https,由tls保護http數據。MMTLS處于業務層和原有的網絡連接層之間,不影響原有的網絡策略。
在收到請求時,小程序網關會利用MMTLS的特征,識別各種協議掛、爬蟲特征、模擬器攻擊、黑灰產IP訪問、DDoS攻擊等各種異常請求,并進行及時攔截。
針對業務重放攻擊,MMTLS基于協議服務端下發密鑰協商機制,實現一次一密,有效杜絕包體重放攻擊。
MMTLS是參考TLS1.3草案標準設計與實現的,在其基礎上進行了升級與優化。與傳統的TLS3.1相比,MMTLS具有輕量化、安全性、高性能、高可用性等優勢。
●? ?輕量級。 MMTLS內置簽名公鑰,避免了證書交換環節,減少了驗證時的網絡交換次數,更加輕量。
●? ?安全性。 MMTLS選擇了TLS1.3推薦的基礎密碼組件;同時,MMTLS在0-RTT防重放方面采用了基于客戶端和服務器端時間序列的策略,確保了高安全性。
●? ?高性能。 MMTLS優化了握手方式和密鑰擴展方式,還針對微信的特定網絡通信特點進行了優化,相比TLS1.3在性能上有所提升。
●? ?高可用性。 MMTLS設計了服務器的過載保護機制,確保在容災模式下仍能提供安全級別稍低的有損服務。
風控防刷,從賬號風控和設備與行為風控兩個緯度對流量進行識別與清洗 。 通過賬號風控快速預知用戶賬戶的風險信息;通過設備與行為風控,實時檢測儀訪問端點的異常行為,快速檢出異常訪問信息。
賬號風控,依托于微信萬億級超大規模風控平臺,通過多個緯度進行逐層風控分析。在訪問過程中,小程序網關會根據實時的流中的appid,openid等信息聚合對應的風控業務數據標簽,以綜合分析賬號身份、設備、用戶行為特征、環境等多維度數據;并根據對應風險標簽提供相關反饋風險登記結果,精準識別異常賬號,有效攔截異常用戶請求。
設備與行為風控,能有效針對防薅羊毛等重點的風控場景。在這種場景下,灰黑產用戶通常會進行批量的大規模自動化控制,用來模擬真人的操作(點擊,滑動)。面對這種情況,設備與行為風控則會依據各類型的傳感器信號以及底層設備的架構信息來判斷用戶是否是真人;同時,還會通過用戶的訪問路徑行為來判斷用戶的行為是否與主流用戶離群,從而判斷用戶是否異常。彌補了純賬號風控模式下,安全風控信息更新不及時導致的誤攔截與漏攔截。
此外,如果想要進一步提升小程序數據防刷能力,還可以在小程序網關基礎上,額外選配騰訊云WAF的API安全和BOT流量管理,形成全面的小程序數據安全和流量風控防護體系。
●? 「API安全」內置了《個保法》的敏感數據檢測規則,能夠快速識別權限異常、賬號異常、敏感數據異常和越權訪問等多種數據安全事件,防止敏感數據泄露,異步保障業務數據安全。
●? 「BOT流量管理」包含十大BOT典型對抗場景,預制140+專家運營規則,能夠從常規流量中高效準確地識別出攻擊者、黑灰產,以及外掛爬蟲。
經典案例:
「背景」
2024年2月,某快餐店自助點餐小程序上舉辦了充值返券的專享活動:充值一定金額即可免費領取同等額度的套餐券。然而該公司程序員在開發該活動代碼時,未能對消費者儲值行為的成功與否進行有效判定。結果,大量羊毛黨利用小程序的活動漏洞,直接領取了原本屬于儲值用戶的專享套餐券。這些羊毛黨隨后在網絡平臺上進行倒賣交易,非法牟利。這一行為最終導致大量套餐券作廢,不僅損害了消費者的權益,還給商家帶來了嚴重的負面影響。
「解決方案」
為解決小程序安全問題,保障用戶的真實權益,品牌與騰訊安全展開合作,接入【WAF-小程序網關解決方案】。該方案在小程序網關的基礎上,還額外增加了騰訊云WAF的API安全和BOT流量管理能力,能夠全方位保障小程序安全。最終,該方案圓滿解決客戶問題,實現了如下價值:
●? 解決了小程序營銷活動安全隱患: 利用微信私有協議和WAF-BOT防護雙重防刷能力,幫助品牌對抗協議掛、真人真機等黑灰產,有效的提升了安全對抗能力。
●? 有效保障了小程序會員系統敏感數據: 微信私有協議加密和WAF-API數據安全保護能力,構建前端到后端全鏈路的數據安全保護體系,幫助用戶保護會員用戶的敏感數據。