一、小程序漏洞扫描功能简介

为提高微信开放平台生态安全性，针对小程序开发过程中的安全问题，如敏感数据篡改、拖库信息泄露、WEB攻击等安全问题，平台向开发者提供漏洞扫描功能，协助开发者及运营者发现后台接口漏洞 ，并给出相应的修复指引。后续会进一步提供基础解决方案，以便开发者及时发现漏洞并快速修复问题。

二、小程序面临主要漏洞风险

在小程序Web服务器中，存在如SQL注入、XSS、敏感信息泄露等多种风险。针对现有小程序漏洞风险，微信开放平台提供针对WEB服务器漏洞、敏感信息检测于一体的漏洞扫描产品。

三、小程序漏洞扫描核心能力

小程序漏洞扫描，是针对SQL注入、XSS攻击、信息泄露、目录遍历等WEB攻击方式，进行自动化扫描，对小程序业务CGI和WEB框架进行安全检测，提供整体的自动化漏洞检测工具。

四、产品优势

1、官方安全团队提供

微信开放平台官方安全检测团队，实战经验丰富

2、全面扫描多维监测

涵盖50项漏洞检测项，包含各类小程序常见漏洞

3、安全便捷无需开发

提供开发者工具和小程序后台两个入口，使用便捷

五、使用方式

1、微信开发者工具（需使用1.05.2104092及以上版本）

① 打开请求页面：微信开发者工具编译小程序后，在调试器->Vulnerability，打开【域名获取】。

② 获取并扫描域名：点击左侧小程序预览页不同的路径获取域名，在右侧【待扫描域名】处勾选域名后点击上方扫描按钮，等待扫描完成即可。注意：登录态可能会过期，需重新授权

③ 扫描结果查看，域名扫描完成后在扫描框下方可查看扫描结果，被红色感叹号标记的域名表示该域名存在漏洞，点击该条域名可查看漏洞的风险等级、类型、风险描述、修复建议等详情，可参考建议检查修复漏洞，提高小程序的安全性，无标记则表示无风险。

2、小程序后台

① 请求步骤：登录小程序管理后台，在【开发→开发管理→安全中心→应用风控→接口安全扫描】，点击开始扫描，获取参数后进行扫描，扫描开始前，请确认小程序服务器资源已准备就绪。

② 获取参数：可自动获取或手动填写，自动获取可选择获取线上版本和体验版的参数；手动填写需选择请求方式并填写url、query、header相关信息。

③ 配置文件：参数信息填写完毕后，请下载配置文件，并放置在所填写的url中，验证通过即可开始扫描。

举例：

待验证域名：qq.com/example

配置文件名：RypyRed5oH.txt

配置文件内文本内容：f3d3f756864098f2e6c6344b9be9a781

则访问配置文件路径：qq.com/example/RypyRed5oH.txt，可获取到文本内容：f3d3f756864098f2e6c6344b9be9a781，即为验证通过。



④ 报告查看：扫描完成后可在或通知中心查看扫描报告。