近年来,小程序的发展非常迅速。早在2021年,小程序的数量就已经超过了700万,越来越多企业将小程序作为营销和交易的主要阵地,以小程序为核心的商业生态逐渐变得繁荣起来。
但在商业蓬勃发展的热闹场面背后,却隐藏着业务数据被爬取的危机!
经典场景一:敏感数据泄露
某员工通过公司小程序提交了访客申请,但这个过程的请求包和返回包被攻击者抓取到了。那么该员工的姓名、手机、部门等等隐私信息就全部落入了不法分子手里。除此之外,攻击者还可以利用截获的数据发起重放攻击,后患无穷!
经典场景二:营销活动遇到薅羊毛
某企业为了给产品做营销,准备了优惠券、秒杀、抽奖等等活动。结果羊毛党通过设备农场、打码平台、群控软件等方式,将优惠券和奖品一秒抢光。
(活动注册机)
导致业务数据被爬取的原因究竟是什么呢?
国家互联网应急中心曾对一些小程序进行过安全性检测,发现在程序源代码暴露关键信息和输入敏感信息时,超过90%的受试小程序都没有采取防护措施;在个人信息的本地储存和网络传输过程中,也有超过60%的小程序未进行加密处理。
由此可见,在疏于防范的情况下,黑灰产就可以通过重放攻击等手段,在小程序端获取企业的敏感数据信息,严重危害企业数据安全;或者盗取企业虚拟资产,妨碍企业正常的营销活动。
即使小程序的原生安全能力就可以满足日常需求,但还是无法在安全意识薄弱、黑灰产手段升级的复杂态势下起到完美的防护作用。
有什么办法可以实现数据防刷,保障数据安全?
当然是采用腾讯云WAF与微信团队联合推出的“小程序网关”(原名:小程序安全加速)啦!
小程序网关是提供了服务加速、服务高可用、Web攻击防护、DDoS防护、防薅防爬、恶意流量拦截等能力的新一代安全加速服务。
在使用小程序网关之后,小程序的流量将会经由微信专有链路关就近接入,使用微信安全全球骨干网传输,通过DNS解析请求到WAF/CLB等网关设备,最终回源到小程序服务器。
为了实现数据防刷,小程序网关专门打造了协议防刷、风控防刷两大特色防护能力,用来保障数据安全和防薅羊毛。
协议防刷,使用了安全稳定的微信私有协议(MMTLS),对数据及接口进行二次封装加密传输,极大提高协议破解和数据爬取门槛,降低业务数据暴露风险。
业务层数据加上MMTLS之后,由MMTLS提供安全保障,保护业务数据。这类似于http加上tls后,变成https,由tls保护http数据。MMTLS处于业务层和原有的网络连接层之间,不影响原有的网络策略。
在收到请求时,小程序网关会利用MMTLS的特征,识别各种协议挂、爬虫特征、模拟器攻击、黑灰产IP访问、DDoS攻击等各种异常请求,并进行及时拦截。
针对业务重放攻击,MMTLS基于协议服务端下发密钥协商机制,实现一次一密,有效杜绝包体重放攻击。
MMTLS是参考TLS1.3草案标准设计与实现的,在其基础上进行了升级与优化。与传统的TLS3.1相比,MMTLS具有轻量化、安全性、高性能、高可用性等优势。
● 轻量级。MMTLS内置签名公钥,避免了证书交换环节,减少了验证时的网络交换次数,更加轻量。
● 安全性。MMTLS选择了TLS1.3推荐的基础密码组件;同时,MMTLS在0-RTT防重放方面采用了基于客户端和服务器端时间序列的策略,确保了高安全性。
● 高性能。MMTLS优化了握手方式和密钥扩展方式,还针对微信的特定网络通信特点进行了优化,相比TLS1.3在性能上有所提升。
● 高可用性。MMTLS设计了服务器的过载保护机制,确保在容灾模式下仍能提供安全级别稍低的有损服务。
风控防刷,从账号风控和设备与行为风控两个纬度对流量进行识别与清洗。通过账号风控快速预知用户账户的风险信息;通过设备与行为风控,实时检测仪访问端点的异常行为,快速检出异常访问信息。
账号风控,依托于微信万亿级超大规模风控平台,通过多个纬度进行逐层风控分析。在访问过程中,小程序网关会根据实时的流中的appid,openid等信息聚合对应的风控业务数据标签,以综合分析账号身份、设备、用户行为特征、环境等多维度数据;并根据对应风险标签提供相关反馈风险登记结果,精准识别异常账号,有效拦截异常用户请求。
设备与行为风控,能有效针对防薅羊毛等重点的风控场景。在这种场景下,灰黑产用户通常会进行批量的大规模自动化控制,用来模拟真人的操作(点击,滑动)。面对这种情况,设备与行为风控则会依据各类型的传感器信号以及底层设备的架构信息来判断用户是否是真人;同时,还会通过用户的访问路径行为来判断用户的行为是否与主流用户离群,从而判断用户是否异常。弥补了纯账号风控模式下,安全风控信息更新不及时导致的误拦截与漏拦截。
此外,如果想要进一步提升小程序数据防刷能力,还可以在小程序网关基础上,额外选配腾讯云WAF的API安全和BOT流量管理,形成全面的小程序数据安全和流量风控防护体系。
● 「API安全」内置了《个保法》的敏感数据检测规则,能够快速识别权限异常、账号异常、敏感数据异常和越权访问等多种数据安全事件,防止敏感数据泄露,异步保障业务数据安全。
● 「BOT流量管理」包含十大BOT典型对抗场景,预制140+专家运营规则,能够从常规流量中高效准确地识别出攻击者、黑灰产,以及外挂爬虫。
经典案例:
「背景」
2024年2月,某快餐店自助点餐小程序上举办了充值返券的专享活动:充值一定金额即可免费领取同等额度的套餐券。然而该公司程序员在开发该活动代码时,未能对消费者储值行为的成功与否进行有效判定。结果,大量羊毛党利用小程序的活动漏洞,直接领取了原本属于储值用户的专享套餐券。这些羊毛党随后在网络平台上进行倒卖交易,非法牟利。这一行为最终导致大量套餐券作废,不仅损害了消费者的权益,还给商家带来了严重的负面影响。
「解决方案」
为解决小程序安全问题,保障用户的真实权益,品牌与腾讯安全展开合作,接入【WAF-小程序网关解决方案】。该方案在小程序网关的基础上,还额外增加了腾讯云WAF的API安全和BOT流量管理能力,能够全方位保障小程序安全。最终,该方案圆满解决客户问题,实现了如下价值:
● 解决了小程序营销活动安全隐患:利用微信私有协议和WAF-BOT防护双重防刷能力,帮助品牌对抗协议挂、真人真机等黑灰产,有效的提升了安全对抗能力。
● 有效保障了小程序会员系统敏感数据:微信私有协议加密和WAF-API数据安全保护能力,构建前端到后端全链路的数据安全保护体系,帮助用户保护会员用户的敏感数据。