营销大促抗洪秘籍——小程序安全加速筑牢企业营销防线,业绩增长快人一倍
小程序应用和安全趋势截止2023年8月,中国移动互联网月活用户达到12.22亿,用户小程序使用习惯持续攀升,微信、支付宝、百度、抖音小程序整体月活规模分别达到9.25亿、6.45亿、3.67亿、2.67亿,全网用户月人均使用小程序个数达到15.9个。由于小程序急剧扩张、种类繁多、开发门槛低、广泛使用第三方库和插件和跨平台开发框架等,即使微信、支付宝、抖音等小程序本身的基础平台功能较为安全,仍会遇到较多问题随着小程序在日常生活中的广泛应用,政府越来越关注小程序的安全、隐私保护、信息泄露等问题。国家和地区已经出台了相关法律法规,对小程序的开发、运营和数据处理等方面进行规范和监管。小程序已经成为互联网第一流量入口!大量诸如营销、会员、交易、扫码…等泛零售业务场景的蓬勃开展,为企业带来经营新机会,但灰黑产大量涌入,通过:主板机、网卡机、群控场景、商业化反编译工具、刷单攻击脚本…等黑账号、黑设备、黑行为形成产业链,为品牌企业带来数百亿级别的直接损失,以及大量负面口碑。 小程序营销待解决的核心问题解决的四大核心问题【弱网加速】【业务安全】【数据安全】【性能优化】 •三四线城市网络时延高,弱网环境访问成功率差,潜在用户流失上线速度快小程序打不开、打开慢,用户流失•打开速度慢白屏时间长性能瓶颈,无法支持大量用户并发访问•接口暴露、用户信息明文传输•数据安全合规业务防护弱,主要业务不敢接入小程序•机器注册、批量登录、虚假设备“薅羊毛”•Web攻击、API利用、CC、漏洞攻击、业务逻辑等,实现套利;黑灰产攻击,业务损失 效果呈现案例一:秒杀活动黑产比例大幅降低大促活动中,客户后端感受有明显提升:1、从地址电话、抢购数量、用户账号等维度分析,疑似黑产的比例从80%+降低到不足1%2、从黑产群和社交媒体也监控到了黑产被广泛拦截3、原有的客户专抢黑产群大量转向其他商品。代买代购大量减少4、因囤货造成的价格垄断被打破,二级市场价格从3-5倍,回落至1.3-1.8倍 效果呈现案例二:守护每一场活动为了保障真实用户的权益,某茶饮客户在2023年底接入腾讯云WAF-小程序安全加速解决方案,重拳出击网络黑灰产。在24年1月30日开启的“中国风味地图第一季”活动中,一举防住了黑灰产的4000万次攻击,保障每天10000杯免费奶茶不被薅走。“XXX始终致力于为消费者提供优质服务,坚决维护消费者的权益。我们深知防范网络黑灰产对于品牌的重要性,这也是技术团队义不容辞的责任,和腾讯小程序安全加速合作增强了XXX的风险防御能力。我们始终呵护每一位粉丝和感恩粉丝信任,绝不容忍任何投机者从中获利。”项目背景大量黑灰产涌入“中国风味地图第一季”活动,对小程序的稳定和用户访问提前造成极大威胁;门店网络遍布全国,部分地区/场地网络质量欠佳导致小程序无法打开、支付不成功等问题影响下单;客户希望能以最小的开发工作量快速集成针对小程序安全的解决方案;解决方案&客户收益提供包括小程序加速、数据私有协议加密,DDoS防护、Web应用防护等多种能力的一站式解决方案,成功拦截了超10万QPS的异常请求,以及拦截超过4000万次的黑灰产攻击,实现了对协议挂攻击的100%狙击,保障了客户小程序的平稳运行;小程序安全解决方案可以提供就近接入、弱网加速等能力,以最优的链路将访问传递给服务器,大幅提升访问成功率;接入方案后,小程序网络稳定性提升了10倍,弱网环境传输加速3倍,请求的平均耗时降低了22%,访问成功率提升至99%以上;支持微信/企业微信小程序、APP、H5等多种接入方式,无需改造代码,可分钟级快速接入。 ——客户IT研发总监 小程序安全与加速最佳实践分享•王磊•腾讯云安全产品经理 目录Menu1、小程序“洪峰”活动业务痛点概述2、营销活动黑灰产对抗思路3、小程序安全防护最佳实践 小程序“洪峰”活动业务痛点概述 营销活动中小程序常见的性能和安全问题请求质量差小程序端可能面临Web安全攻击、API利用、CC攻击等安全威胁,黑客对小程序系统发起漏洞攻击,绕过用户身份鉴权、业务逻辑等,实现套利攻击防护在小程序营销活动中,黑产通过机器注册、批量登录、虚假设备等违规手段“薅羊毛”,使得客户的营销引流效果大打折扣,营销资源浪费小程序访问成功率低、响应速度慢,整体小程序体验不佳,真实用户无法及时的访问到活动页面,造成相当规模的客诉和收入损失弱网环境访问延时高黑灰产攻击流量洪峰下,如何保障服务不宕机、用户不流失?涉及高净值用户的业务敏感数据如何能够防篡改、防窃取、防滥用?如何构建一套有效防护黑灰产、服务于营销活动的安全业务架构? 羊毛党防薅羊毛 涉及高净值的用户的账号信息、身份信息、订单信息等内容在活动中被窃取,被第三方售卖给友商,直接导致用户流失带来资损数据安全数据安全 营销活动黑灰产对抗思路小程序安全防护最佳实践 腾讯云安全的营销活动安全对抗思路—构建多维度的安全对抗体系•人——机器背后的人在微信上的操作逻辑和小程序操作行为,是否有合法的小程序点击流程•端——是否合法合规的设备和小程序完整环境,检测模拟器或调试工具•行为——结合业务请求流量模式和特点,实时判断请求、流量是否合法深度融合多种安全平台能力,横向打通行为安全、协议安全、账号安全三大体系「人+端+云」三位一体防护体系,充分保护小程序数据安全和业务安全深度融合多重安全体系,结合小程序独有安全模型构建独特丝滑,准确高效,轻交互的用户体验 基于微信智能分析模型,同时结合腾讯云BOT流量管理能力,可以精准识别假人假机、假人真机,真人真机等各种不同黑灰产技术及手段,有效拦截羊毛党、黑灰产,保障业务高安全运行腾讯云安全最佳实践—小程序安全解决方案,构建多维度的安全对抗体系客户端移动APP小程序H5访问微信SDK设备风控SDK网关接入层+ WAF微信网关WAF基础安全腾讯云阿里云IDC业务源站威胁情报业务风控验证码图灵盾微信私有链路微信私有协议BOT流量管理客户端网络管理方式小程序加固+图灵盾请求身份识别+微信私有链路和协议BOT流量管理+微信风控产品能力通过HTML和JS加密服务实现防调试、防逆向、代码混淆等多项保护措施极大提高协议破解和数据爬取门槛,有效屏蔽不明网络问题,提升访问质量基于微信智能分析模型和腾讯云BOT防护能力,有效拦截羊毛党、黑灰产应用概述小程序加固:提供小程序安全加固能力,有效防止代码泄露和逆向分析,保障应用安全。图灵盾:设备实时风险检测服务接受百亿级检测请求,全方位有效检出各场景下的设备风险行为。微信私有协议:自研私有协议安全稳定,可对数据及接口二次封装加密传输,降低业务数据暴露风险。弱网加速:支持智能选路、择优回源等能力,有效提升小程序访问质量服务端技术要点 方案价值点一:流量洪峰下,保障小程序整体请求质量不明网络问题导致小程序访问服务失败?有效解决各种网络相关疑难杂症99.9%+业务请求成功率优化请求访问质量,提升活动用户访问成功率 方案价值点一:流量洪峰下,保障小程序整体请求质量•基于微信私有协议,可以有效屏蔽解决不明网络问题,可提升网络请求成功率至99.9%以上。•只要微信能打开,你的小程序就可以使用北京上海深圳优化访问质量,解决由于网络环境差导致的小程序无法打开、支付不成功等问题弱网加速弱网加速微信多IDC链路弱网加速•多地域就近接入•最优链路智能识别•最短路径自动选择•内网流量打通•链路更稳定•自动降级•自动重试•微信基础库热更新•无需用户发版•全地域自动切换,无需用户手动调度•一键接入•全链路数据报表•分段数据智能分析异常•智能寻找链路问题特点优势 方案价值点二:多维度防护方案,抵御黑灰产,有效拦截恶意流量400G+DDOS攻击防护能力高性价比的DDOS攻击防护能力提供分布式安全防护能力,低成本应对DDoS攻击 方案价值点三:小程序核心敏感数据保护,建立高净值用户数据护城河微信SDK前端加密,有效保护企业数据资产•二次封装加密数据及接口,无明文数据•微信自研私有协议加密,破解门槛及成本极高数据二次封装加密,极大提高协议破解和数据爬取门槛典型场景:1.中间人攻击:攻击者截获并篡改通信数据2.重放攻击:攻击者重复发送已被接受的数据包3.前项安全性不足:长期密钥泄漏,导致之前通信的密钥被破解 方案价值点四:独家测试工具,微信全链路压测,及时发现活动服务瓶颈真实还原业务的海量高并发场景,及时发现服务瓶颈微信真实帐号真正全链路压测微信登录选购商品支付订单状态完成Eg.支付/购买流程压测只能压测小程序业务接口?只能模拟请求?小程序压测工具,微信真实账号全链路压测,问题早发现早解决可提供10万微信真实账号,模拟最真实的实际业务访问场景 最佳实践解决方案价值点优化业务访问质量提供微信私有协议加密能力,二次封装加密用户数据和接口,全程无明文数据传输,极大的提高外部抓包破解门槛,有效保护企业无形数据资产提供就近接入、弱网加速能力,通过使用微信同等级的多IDC链路,有效降低用户弱网访问延时,只要微信能打开,业务小程序就可以使用,显著提升客户端访问成功率及终端用户体验。活动访问质量提升数据安全高净值用户敏感数据防爬 业务安全提供集DDoS攻击防护(400G+)、账号风控防护(微信)、Web应用防护等能力为一体的一站式安全防护方案。可抵御99%以上的异常流量,有效拦截异常用户、异常请求,让业务把优惠福利真正的给到目标用户。防薅羊毛恶意攻击拦截 仿真压测真实账号全链路压测提供微信真实账号全链路压测能力,通过真实用户请求业务接口&微信开放接口,快速发现后端服务的卡点,帮助您轻松应对各类大型活动的流量挑战,确保服务始终可靠。 小程序安全加速—更多能力提供API流量治理能力,保障业务高可用业务高可用链路透明简单,自主配置服务接入点、路有规则自定义安全链路 APP、微信小程序、Web等业务可多端接入多端可用 不改变现有架构,快速接入接入快捷 WeTest小程序全周期防护体系解密 关于WeTest腾讯官方出品的一站式质量开放平台,致力于产品质量标准建设和产品品质提升,依托10余年腾讯产品品质管理经验,历经千款腾讯内外产品磨砺。平台集成云手机、兼容测试、功能测试、性能测试、安全测试、自动化测试等25款优秀产品服务,拥有68个创新专利技术,满足众多开发者从研发到运营各阶段的测试需求,360度保障产品质量。 张晓蕴Ayu讲师介绍腾讯10年+行业应用经验参与孵化WeTest平台多款主打产品,包括兼容测试、性能测试服务、安全服务等。 目录Menu•小程序发布前后的安全风险•从防护到监控,小程序安全整体解决方案 小程序发布前后的安全风险 小程序上线前后的安全风险利用小程序的优惠活动、积分奖励等机制,通过虚假信息、刷单等方式获取不当利益等。用户信息泄露、体验下降、品牌形象受损、经济损失、法律风险因权限设置不当,或因和第三方数据公司/广告商共享、代码漏洞、数据存储不安全等导致用户隐私泄漏。导致小程序反复审核不过,被通报等问题。通报部门通报频次、时间通报问题工信部公开通报3批15款1、强制定向推送2、过度索权3、违规收集个人信息内部通知1批3款1、无隐私政策2、未明示收集信息3、提前申请开启定位……(2021-2023上半年)利用漏洞BOT攻击、恶意爬虫、在平台上进行非法活动,如虚拟邀请、网诈网赌、虚假广告等。上 线 前> >安 全 风 险薅羊毛隐私泄露黑灰产横行山寨仿冒 上 线 后> >安 全 风 险+质 量 风 险小程序在有限的资源下运行,要综合考虑代码逻辑、资源加载等,提升用户体验对性能优化挑战大。不同设备、操作系统适配难,功能/UI异常卡顿、加载慢、崩溃、占用内存过高等 从防护到监控小程序安全整体解决方案 WeTest小程序安全解决方案安全扫描服务器安全检测业务逻辑安全检测服务组件安全检测代码安全检测安全渗透测试深度漏洞挖掘漏洞修复建议模拟黑客攻击安全加固防篡改防调试防窃取防逆向专家深度分析&建议兼容适配大数据机型库独家账号授权多版本同步测试安全+质量 WeTest小程序安全
