一、小程序漏洞扫描功能简介
为提高微信开放平台生态安全性,针对小程序开发过程中的安全问题,如敏感数据篡改、拖库信息泄露、WEB攻击等安全问题,平台向开发者提供漏洞扫描功能,协助开发者及运营者发现后台接口漏洞 ,并给出相应的修复指引。后续会进一步提供基础解决方案,以便开发者及时发现漏洞并快速修复问题。
二、小程序面临主要漏洞风险
在小程序Web服务器中,存在如SQL注入、XSS、敏感信息泄露等多种风险。针对现有小程序漏洞风险,微信开放平台提供针对WEB服务器漏洞、敏感信息检测于一体的漏洞扫描产品。
三、小程序漏洞扫描核心能力
小程序漏洞扫描,是针对SQL注入、XSS攻击、信息泄露、目录遍历等WEB攻击方式,进行自动化扫描,对小程序业务CGI和WEB框架进行安全检测,提供整体的自动化漏洞检测工具。
四、产品优势
1、官方安全团队提供
微信开放平台官方安全检测团队,实战经验丰富
2、全面扫描多维监测
涵盖50项漏洞检测项,包含各类小程序常见漏洞
3、安全便捷无需开发
提供开发者工具和小程序后台两个入口,使用便捷
五、使用方式
1、微信开发者工具(需使用1.05.2104092及以上版本)
① 打开请求页面:微信开发者工具编译小程序后,在调试器->Vulnerability,打开【域名获取】。
② 获取并扫描域名:点击左侧小程序预览页不同的路径获取域名,在右侧【待扫描域名】处勾选域名后点击上方扫描按钮,等待扫描完成即可。注意:登录态可能会过期,需重新授权
③ 扫描结果查看,域名扫描完成后在扫描框下方可查看扫描结果,被红色感叹号标记的域名表示该域名存在漏洞,点击该条域名可查看漏洞的风险等级、类型、风险描述、修复建议等详情,可参考建议检查修复漏洞,提高小程序的安全性,无标记则表示无风险。
2、小程序后台
① 请求步骤:登录小程序管理后台,在【开发→开发管理→安全中心→应用风控→接口安全扫描】,点击开始扫描,获取参数后进行扫描,扫描开始前,请确认小程序服务器资源已准备就绪。
② 获取参数:可自动获取或手动填写,自动获取可选择获取线上版本和体验版的参数;手动填写需选择请求方式并填写url、query、header相关信息。
③ 配置文件:参数信息填写完毕后,请下载配置文件,并放置在所填写的url中,验证通过即可开始扫描。
举例:
待验证域名:qq.com/example
配置文件名:RypyRed5oH.txt
配置文件内文本内容:f3d3f756864098f2e6c6344b9be9a781
则访问配置文件路径:qq.com/example/RypyRed5oH.txt,可获取到文本内容:f3d3f756864098f2e6c6344b9be9a781,即为验证通过。
④ 报告查看:扫描完成后可在或通知中心查看扫描报告。
若在使用小程序漏洞扫描功能时出现相关问题或疑问,可至安全中心专区进行发帖反馈,请一并提供appid,具体操作时间点,问题截图等详细信息,以便进行核实谢谢。
小程序漏洞扫描,IDE扫描貌似不运行,一直在待扫描内。
请问在小程序开发工具里Vulnerability下“待扫描域名”里怎么不显示域名呢?
用小程序后台测试应用风控,自提示动获取参数失败,,用微信开发者工具扫也提醒扫描结果失败
点了后无法停止,来了很多请求,把网站都快压垮了