评论

小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面,涉及欺诈行为被处罚的经历分享

本文主要介绍我们被处罚的情况和原因分享,希望对于遇到的开发者有一定的指引

最近半年逛社区,发现有好多小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面,导致小程序被处罚的情况。

而大多数小程序开发者收到违规消息时候,也是一脸懵逼,这个页面压根不是我们小程序页面,怎么会这么显示?是不是有人恶意投诉?我们公司不搞这个活动,这是怎么回事?

前阵子我们小程序也出现了类似页面被小程序官方处罚,检查后原因是

第三方通过webview 对我们的特定业务做了xss注入攻击,导致访问该网页会直接跳转到第三方虚假活动的网页,以至于小程序出现该虚假活动涉诈的页面。

但从受害者和官方看来这个虚假活动页面就是小程序自身有的,无法区分该页面是用户本身恶意违规,还是被利用。

也分享两点经验教训:

1.waf不一定能防护住xss攻击

一开始我们以为waf能防住他们的xss攻击,后来发现这个黑产团队很专业,他们的攻击绕过了我们的waf相关服务;

2.管控好小程序配置的业务域名,做好安全加固

过去为了方便,将老的容易被攻击的域名配置到小程序业务域名上,让那些网址可以通过webview打开。也因此导致了黑产通过这些业务利用我们小程序开展非法活动。


希望各位开发者能做好小程序安全加固,避免出现此类风险

也希望有其他大佬能一起在小程序社区分享些黑产对抗经验




最后一次编辑于  2023-05-29  
点赞 3
收藏
评论

3 个评论

  • 李贤
    李贤
    2023-05-29

    怎么处罚的?

    2023-05-29
    赞同 1
    回复
  • 阿7
    阿7
    2023-07-10

    大佬,我也遇到类似问题了,申诉过不了,请问有能过申诉的方法吗

    2023-07-10
    赞同
    回复
  • 阿波
    阿波
    2023-05-29

    如果遇到类似问题有其他情况,也希望大佬能在评论区分享下

    2023-05-29
    赞同
    回复
登录 后发表内容