小程序漏洞扫描功能介绍
一、小程序漏洞扫描功能简介
为提高微信开放平台生态安全性,针对小程序开发过程中的安全问题,如敏感数据篡改、拖库信息泄露、WEB 攻击等安全问题,平台向开发者提供漏洞扫描功能,协助开发者及运营者发现后台接口漏洞 ,并给出相应的修复指引。后续会进一步提供基础解决方案,以便开发者及时发现漏洞并快速修复问题。
二、小程序面临主要漏洞风险
在小程序 Web 服务器中,存在如 SQL 注入、XSS 、敏感信息泄露等多种风险。针对现有小程序漏洞风险,微信开放平台提供针对WEB服务器漏洞、敏感信息检测于一体的漏洞扫描产品。
三、小程序漏洞扫描核心能力
小程序漏洞扫描,是针对 SQL 注入、XSS 攻击、信息泄露、目录遍历等 WEB 攻击方式,进行自动化扫描,对小程序业务 CGI 和 WEB 框架进行安全检测,提供整体的自动化漏洞检测工具。
四、产品优势
1、官方安全团队提供
微信开放平台官方安全检测团队,实战经验丰富
2、全面扫描多维监测
涵盖50项漏洞检测项,包含各类小程序常见漏洞
3、安全便捷无需开发
提供开发者工具和小程序后台两个入口,使用便捷
五、使用流程
1、微信开发者工具
1)打开请求页面:微信开发者工具编译小程序后,在调试器 -> Vulnerability,打开【域名获取】。
2) 获取并扫描域名:点击左侧小程序预览页不同的路径获取域名,在右侧【待扫描域名】处勾选域名后点击上方扫描按钮,等待扫描完成即可。注意:登录态可能会过期,需重新授权
3)扫描结果查看,域名扫描完成后在扫描框下方可查看扫描结果,被红色感叹号标记的域名表示该域名存在漏洞,点击该条域名可查看漏洞的风险等级、类型、风险描述、修复建议等详情,可参考建议检查修复漏洞,提高小程序的安全性,无标记则表示无风险。
2、小程序后台
1)请求步骤:登录小程序,在开发 → 开发管理 → 安全中心 → 接口安全扫描,点击开始扫描,获取参数后进行扫描,扫描开始前,请确认小程序服务器资源已准备就绪。
2)获取参数:可自动获取或手动填写,自动获取可选择获取线上版本和体验版的参数;手动填写需选择请求方式并填写 url、query 、header 相关信息,参数获取完成后即可开始扫描。
3)报告查看:扫描完成后可在或通知中心查看扫描报告。