收藏
评论

小程序漏洞扫描功能介绍官方

一、小程序漏洞扫描功能简介

为提高微信开放平台生态安全性,针对小程序开发过程中的安全问题,如敏感数据篡改、拖库信息泄露、WEB攻击等安全问题,平台向开发者提供漏洞扫描功能,协助开发者及运营者发现后台接口漏洞 ,并给出相应的修复指引。后续会进一步提供基础解决方案,以便开发者及时发现漏洞并快速修复问题。

二、小程序面临主要漏洞风险

在小程序Web服务器中,存在如SQL注入、XSS、敏感信息泄露等多种风险。针对现有小程序漏洞风险,微信开放平台提供针对WEB服务器漏洞、敏感信息检测于一体的漏洞扫描产品。


三、小程序漏洞扫描核心能力

小程序漏洞扫描,是针对SQL注入、XSS攻击、信息泄露、目录遍历等WEB攻击方式,进行自动化扫描,对小程序业务CGI和WEB框架进行安全检测,提供整体的自动化漏洞检测工具。


四、产品优势

1、官方安全团队提供

微信开放平台官方安全检测团队,实战经验丰富

2、全面扫描多维监测

涵盖50项漏洞检测项,包含各类小程序常见漏洞

3、安全便捷无需开发

提供开发者工具和小程序后台两个入口,使用便捷


五、使用方式

1、微信开发者工具(需使用1.05.2104092及以上版本

① 打开请求页面:微信开发者工具编译小程序后,在调试器->Vulnerability,打开【域名获取】。

② 获取并扫描域名:点击左侧小程序预览页不同的路径获取域名,在右侧【待扫描域名】处勾选域名后点击上方扫描按钮,等待扫描完成即可。注意:登录态可能会过期,需重新授权



③ 扫描结果查看,域名扫描完成后在扫描框下方可查看扫描结果,被红色感叹号标记的域名表示该域名存在漏洞,点击该条域名可查看漏洞的风险等级、类型、风险描述、修复建议等详情,可参考建议检查修复漏洞,提高小程序的安全性,无标记则表示无风险。



2、小程序后台

① 请求步骤:登录小程序管理后台在【开发→开发管理→安全中心→应用风控→接口安全扫描】,点击开始扫描,获取参数后进行扫描,扫描开始前,请确认小程序服务器资源已准备就绪


② 获取参数:可自动获取或手动填写,自动获取可选择获取线上版本和体验版的参数;手动填写需选择请求方式并填写url、queryheader相关信息

配置文件:参数信息填写完毕后,请下载配置文件,并放置在所填写的url中,验证通过即可开始扫描。

举例:

待验证域名:qq.com/example

配置文件名:RypyRed5oH.txt

配置文件内文本内容:f3d3f756864098f2e6c6344b9be9a781

则访问配置文件路径:qq.com/example/RypyRed5oH.txt,可获取到文本内容:f3d3f756864098f2e6c6344b9be9a781,即为验证通过。



报告查看:扫描完成后可在或通知中心查看扫描报告。






9131浏览
最后一次编辑于  2022-06-06
收藏

5 个评论

  • 社区运营专员-wetingtu
    社区运营专员-wetingtu
    置顶评论2022-03-04

    若在使用小程序漏洞扫描功能时出现相关问题或疑问,可至安全中心专区进行发帖反馈,请一并提供appid,具体操作时间点,问题截图等详细信息,以便进行核实谢谢。

    2022-03-04
    赞同
    回复
  •  Z'思学
    Z'思学
    发表于小程序端
    2023-02-22

    小程序漏洞扫描,IDE扫描貌似不运行,一直在待扫描内。

    2023-02-22
    赞同
    回复
  • 谷新
    谷新
    2022-02-25

    请问在小程序开发工具里Vulnerability下“待扫描域名”里怎么不显示域名呢?

    2022-02-25
    赞同
    回复 4
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-03-03
      你好,请问仍有该问题嘛?后续有疑问建议可在社区发帖进行反馈,并附上相关问题截图以便核实
      2022-03-03
      回复
    • tzhk100
      tzhk100
      01-18回复社区运营专员-wetingtu
      是不是小程序里面出现域名信息才会扫描得到??我的也是没有域名信息
      01-18
      回复
    • tzhk100
      tzhk100
      01-18回复社区运营专员-wetingtu
      01-18
      回复
    • 江北小小生
      江北小小生
      03-19
      请问你是用的云开发吗?用开发不会显示域名,好像云托管也不会显示域名
      03-19
      回复
  • Garson
    Garson
    2021-11-05

    用小程序后台测试应用风控,自提示动获取参数失败,,用微信开发者工具扫也提醒扫描结果失败

    2021-11-05
    赞同
    回复 1
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-03-03
      自动获取参数失败,可尝试采用手动获取参数的方式,若后续使用仍有问题,建议可在社区发帖进行反馈,谢谢
      2022-03-03
      回复
  • feng
    feng
    2021-06-09

    点了后无法停止,来了很多请求,把网站都快压垮了

    2021-06-09
    赞同
    回复 1
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2021-06-23
      你好,请问问题目前还复现吗?若仍有此问题,可到社区发帖反馈,并附上具体问题的截图
      2021-06-23
      1
      回复
登录 后发表内容