守护企业小程序安全，稳驾业务增长快车

小程序安全与加速最佳实践分享 •王磊 •腾讯云安全产品经理 讲师介绍 王磊 姓名 负责腾讯云小程序网关、Web应用防火墙等产品运营和To B商业化工作，有着丰富的云安全项目落地经验 腾讯云安全产品专家 目录Menu •1、小程序业务痛点概述•2、小程序安全与加速最佳实践分享 小程序业务痛点概述 小程序性能/安全常见问题 请求质量差 黑灰产攻击 羊毛党 数据安全 数据安全 网络延时高 防薅羊毛 攻击防护 在小程序营销活动中，黑产通过机器注册、批量登录、虚假设备等违规手段“薅羊毛”，使得客户的营销引流效果大打折扣，营销资源浪费； 小程序端可能面临Web安全攻击、API利用、CC攻击等安全威胁，黑客对小程序系统发起漏洞攻击，绕过用户身份鉴权、业务逻辑等，实现套利 涉及用户的账号信息、身份信息、订单信息等内容，所有接口需要严格加密 小程序访问成功率低、响应速度慢，整体小程序体验不佳，造成相当规模的经济损失及客诉 小程序安全与加速最佳实践 最佳实践：小程序网关——新一代安全与加速服务 •本产品是与微信团队联合开发的云安全产品，用户可以享受与微信同等级的安全加速能力 •小程序安全加速提供了集服务加速、服务高可用、Web攻击防护、DDoS防护、防薅防爬、恶意流量拦截等能力的新一代安全加速服务 核心功能一：优化请求访问质量 不明网络问题导致小程序访问服务失败？有效解决各种网络相关疑难杂症 99.9%+ 业务请求成功率 核心功能一：优化请求访问质量 优化访问质量，解决由于网络环境差导致的小程序无法打开、支付不成功等问题 只要微信能打开，你的小程序就可以使用 接入小程序安全加速后，茶百道用户访问小程序的成功率接近100%。在茶百道“中国风味地图第一季”活动期间，相比公网请求，接入后茶百道用户平均访问耗时降低了22%，P95访问耗时降低了33% 多节点接入，弱网环境下访问速度可提升300%服务高可用，业务访问成功率可提升70% 核心功能二：避免业务数据被爬取，保护企业敏感数据 微信SDK前端加密，有效保护企业数据资产 •二次封装加密数据及接口，无明文数据•微信自研私有协议加密，破解门槛及成本极高 100%+ 数据二次封装加密极大提高协议破解和数据爬取门槛 核心功能三：抵御黑灰产，有效拦截恶意流量 端+网关双重防护，提供「WAF+小程序风险识别」双重保障 •账号风控，有效拦截异常用户请求•用户特征分析模型，异常用户请求二次校验•十大BOT典型对抗场景，预制140+专家运营规则 核心功能四：提供分布式安全防护能力，低成本应对DDoS攻击 多地就近接入，提供DDoS防护、CC防护、Web攻击防护等多重防护能力 核心功能五：独家测试工具，压测发现服务瓶颈 真实还原业务的海量高并发场景，及时发现服务瓶颈 只能压测小程序业务接口？只能模拟请求？小程序压测工具，微信真实账号全链路压测，问题早发现早解决可提供10万微信真实账号，模拟最真实的实际业务访问场景 客户案例（一）某收付款工具 业务挑战 1.网络600001报错，排查不出具体原因2.每天报错占比较高，损失大 安全网关解决方案 1.微信私有协议，提供安全稳定的链路通道2.有效解决各种网关疑难问题，服务成功率可达99.9%以上 客户案例（一）某收付款工具 98.97%网络访问成功率 99.96%+网络访问成功率高于标准http最高值99.79% 客户案例（二）某团购电商 该业务接入前遇到的主要业务问题： 1.核心业务数据被爬，例如：商品价格数据、门店自提点信息、秒杀优惠单品和定价等2.下沉市场用户设备、网络环境复杂，弱网访问体验不好 该业务团队技术实力非常强，多年来建设一套自研协议，涵盖网络通信优化、通信数据安全和DNS防劫持等能力。 然而小程序前端源码包可获取webkit等信息，该业务团队尝试多种技术方案，包括代码加固、7层转4层通讯等均没有成效。 最终通过多方对比，采用微信安全网关的方案，目前持续使用；同时多个小程序也使用此套方案。 网络访问成功率 99.94% 网络访问成功率高于标准http最高值99.79% 最佳实践解决方案价值点 业务安全 优化业务访问质量 仿真压测 数据安全 网络加速提升稳定性 真实账号全链路压测 防薅羊毛恶意攻击拦截 数据防爬 提供就近接入、弱网加速能力，通过使用微信同等级的多IDC链路，有效降低用户访问延时，同时优化三四线城市及商场等弱网环境访问质量。只要微信能打开，业务小程序就可以使用，显著提升客户端访问成功率及终端用户体验。 提供集DDoS攻击防护（400G+）、账号风控防护（微信）、Web应用防护等能力为一体的一站式安全防护方案。可抵御99%以上的异常流量，有效拦截异常用户、异常请求，让业务把优惠福利真正的给到目标用户。 提供微信私有协议加密能力，二次封装加密用户数据和接口，全程无明文数据传输，极大的提高外部抓包破解门槛，有效保护企业无形数据资产。 提供微信真实账号全链路压测能力，通过真实用户请求业务接口&微信开放接口，快速发现后端服务的卡点，帮助您轻松应对各类大型活动的流量挑战，确保服务始终可靠。 小程序安全加速—更多能力 链路透明简单，自主配置服务接入点、路有规则自定义安全链路 APP、微信小程序、Web等业务可多端接入多端可用 接入快捷 业务高可用 不改变现有架构，快速接入 案例展示 Thank you感谢观看！ 小程序网关核心能力解读 •刘吉赟•腾讯云WAF研发总监 讲师介绍 姓名刘吉赟 负责腾讯云WAAP产品线，多年丰富的TO B研发和产品管理经验，从0构建Web应用防火墙，Bot流量管理，API安全等多个产品 目录Menu •1、数据加密能力解读•2、网络加速与弱网优化能力解读•3、安全风控能力解读 数据加密能力解读 微信私有数据加密协议MMTLS 通过微信SDK前端加密，可以有效保护企业数据资产什么是MMTLS协议？ 微信私有加密MMTLS协议详解 1、MMTLS协议协商，建立TLS连接。PSK无效时，采用ECDH秘钥协商2、客户端携带客户端信息及用户信息，获取登录token等信息；3、依据判定用户是否合法，响应token信息或者拒绝访问。 网关通过给业务层级网络层添加定制化包头方式，针对数据信息加密及完整性校验，达到不入侵业务原始数据的情况下，针对业务数据加密。 网路加速与弱网优化能力解读 客户端优化策略——Socket链接优化 Socket链接优化（链接优化与弱网可用性） •创建链接优化策略•维持链接优化策略 客户端优化策略——DNS解析优化、加密握手优化 内置NEW DNS解析服务 •解析时间优化 网关域名解析默认跟随sdk一同下发，跟随应用初始化时一同下发。对应会提前提供一些列对应的ip：port列表。内置的newdns定期缓存网关域名的解析数据，业务在发起应用层请求时，即可复用newdns解析结果。可以避免解析导致的耗时。 •解析地址优化 Newdns基于httpdns能力的基础上，进行dns域名解析，避免了因为诸如运营商DNS劫持、封禁等localdns连接异常、使用异常的场景 MMTLS加密握手优化 优化了握手和密钥扩展过程，减少网络交互次数，提高性能。 客户端优化策略——其他策略 连接耗时和稳定性 通过优化连接和维持的过程，提高连接的稳定性和效率。 收发包耗时和稳定性： 对收发包过程进行优化，减少数据传输的延迟和丢包率。 后台长链接优化： 针对后台长链接，在心跳策略、Push及时性等方面进行优化，保持连接的稳定性和效率 安全风控能力解读 微信流量风控模型介绍 1.精准识别。基于智能分析模型，综合账号身份、设备、用户行为特征、环境等小程序场景下多重维度数据分析。 2.灵活性高。支持业务自定义拦截策略、业务自定义拦截显示页面、业务自定义人机交互验证页面。 3.人机交互验证。网关检测到用户当前网络环境异常，支持人机验证。 4.实时数据监控。分钟级拦截异常请求数据监控，支持查看详细拦截日志。 微信流量风控模型——风控流程详解 在完成基础协议层面清洗后，风控的对抗会进一步升级，因此风控分为多个模块进行识别和清洗。 通过账号风控快速预知用户账户的风险信息，通过设备与行为风控，实时检测仪访问端点的异常行为信息快速检出异常访问信息。 优势： 1.更低的接入成本，用户不需要在服务器再次发起验证请求，只需要在控制台对配置勾小程序防护，不需要在小程序侧做消息通信逻辑，相对来说，业务改造量较小2.微信用户体系优势，拥有，对于高风险用户有更强的把控能力3.更丰富的行为特征，相对于默认验证码验证码，可以静默识别异常的维度更多，用户体验更好4.有API维度的信息，可以对user/path/body/流量模式/访问ip来源做主动感知，更接近实际业务模型，识别更准确 Thank you感谢观看！ 业务风控与小程序检测最佳实践分享 导师介绍 姓名：王雷雷 负责腾讯云业务风控，小程序检测等产品的商业化工作，主攻零售、泛互、文旅行业，具备多年的行业与方案落地经验 目录Menu •各行业面临的业务安全风险 •如何应对业务风险 •实战案例 各行业面临的业务安全风险 各行业面临的安全风险 行 业 风 险 零售行业：薅羊毛 互联网行业：虚假流量 文旅行业：黄牛抢票 黑产会操纵大量账号使用自动化脚本工具参与营销活动，获取优惠券奖以及特价商品，通过收取费用代人下单，从而获取利益 黄牛党”通过技术手段进行加价抢票、倒买倒卖等扰乱市场秩序 黑产利用虚假设备，虚假账号，模拟真人注册与点击行为进行刷量，造成虚假繁荣，影响业务判断 小程序面临的安全风险 质 量 问 题 安 全 风 险 山寨仿冒 不同设备、操作系统适配难，功能/UI异常 隐私泄漏 因权限设置不当，或因和第三方数据公司/广告商共享、代码漏洞、数据存储不安全等导致用户隐私泄漏 不同平台的小程序开发框架、渲染引擎、系统版本等方面存在差异，导致在不同平台上展示效果可能会有所不同 用户信息泄露、体验下降、品牌形象受损、经济损失、法律风险 卡顿、加载慢、崩溃、占用内存过高等 小程序在有限的资源下运行，要综合考虑代码逻辑、资源加载等，提升用户操作体验 安全漏洞 如何应对业务风险 接入层对流量进行解析做出风险决策，保障业务高可用、不崩溃、实时甄别恶意流量请求,支持APP、PC、小程序多端接入 为客户业务搭建专属风控服务平台，实现自定义规则引擎与模型策略 腾讯侧基于生态数据能力以及专属策略模型帮助客户识别风险用户 拦截非法设备请求（Windows/Mac)+非正常用户购买行为（异常购买行为+同账户多订单+高速度） 黑白名单策略 实时策略优化 为客户业务搭建专属风控服务平台，实现自定义规则引擎与模型策略 实时对抗策略： 1、同IP关联账号数/设备数过多2、同用户短时间内请求数过多3、虚假设备、风险设备4、微信OpenID信誉过低…… 核心能力：基于无感AI，从机到人、多场景、全方位、全平台的风险检测服务 以可信设备ID标识为基础，通过设备，账号，环境，行为，场景等多维度信息，实现假人假机-假人真机-真人真机的全面覆盖，全方位抵御设备欺诈行为 小程序安全&质量架构 基于小程序的完整生命周期进行安全检测，从白帽黑客思维和调试角度出发，多方面对移动应用进行静态、动态的人工渗透，以获取安全隐患，提供专业修复意见，辅助解决应用安全问题。 强大的感知检测能力 -0day漏洞首发感知响应、扫描检测能力-百余种检测项-支持多种平台小程序 多形态、多工具、多角度的渗透检测方式 -上百种渗透测试、漏洞分析工具-业内真实白帽黑客角度轮换人员模拟攻击-从逻辑测试、数据安全等方面进行渗透，最大程度展现攻击面