小程序已经上线跑了几个月(调用量完全正常,不存在程序有bug的情况),今天-2020年6月24日早上突然收到报警,说我云函数调用资源用完,上后台一看,好家伙!凌晨1-3点云函数被调用了接近上百万次,而活跃用户只有21人!
很明显是云函数被人破解了直接用脚本跑出来的,正常人访问小程序页面不可能在几个小时内达到这么81.42万次这么多!!!
用云函数的初衷就是看中它的安全性,现在看毫无安全性可言,直接把我的接口跑挂了。
希望官方能够重视这次事件,封杀爬云函数的账号,并能进一步加强云开发的安全性问题,不让云开发使用者使用的时候都担心受怕。
更新后续: 经官方排查为微信爬虫,一般创建一个小程序后,后台的页面收录默认是开启的,而且每日爬虫的次数默认是无上限了,因此为了避免不必要的 资源浪费,假如你希望被官方爬虫收录,但是又不想被无限制的爬取,可以设置每日爬取的频率上限,也可以在项目中的sitemap进行更所维度的收 录配置。
继续更新后续,今天2020.06.26,一觉醒来,继上次云开发续费之后,并且微信后台设置了日爬虫频率为1000之后,照样继续每天被爬上百万次,把我续费的额度都爬光了。
同步下刚刚沟通的结论
这个小程序开启了页面收录的功能,同时由于小程序页面 URL 带有很多参数导致产生了大量的不同的网址,产生了大量的小程序爬虫访问,导致云函数的请求也大量增加
解决办法:
https://developers.weixin.qq.com/miniprogram/dev/framework/sitemap.html
2. 在微信管理后台,功能 -> 页面内容接入中可以设置爬虫频率上限
你好,感谢反馈。我们已关注到反馈的相关情况,目前正在跟进定位中。
吓得我赶紧设置了一下。开了按量付费,就怕一觉睡醒,全部资产就变成"疼讯"的了。
爬虫? 你提交收录页面是不是有些多
遇到云函数被破,code被破的情况了,想用云函数写核心逻辑的想法已经完全破灭了
牛批 那么少用户就被攻击 被针对了