收藏
评论

小程序安全检测上线公告官方

为进一步提升小程序的安全性和用户体验,目前平台将对提审的小程序进行安全检测,以便能及时帮助开发者发现小程序可能存在的安全漏洞。

一、背景介绍

小程序在开发过程中若存在安全漏洞的情况,如敏感数据篡改、拖库信息泄露、WEB攻击等,容易造成小程序的安全隐患,可能带来代码易被反编译、核心业务逻辑被破译、算法易被二次打包等风险。因此,平台将对提审的小程序进行安全检测,以协助开发者提升小程序服务的安全性,同时开发者也应加强自身小程序安全漏洞监测能力,保证可及时消除潜在的安全风险。

二、审核过程

安全检测过程中,平台会模拟真实业务场景,向提审小程序的后台发送服务请求,服务器会收到来自平台(显示为:Tencent Security Team,请求IP为106.55.202.118;113.96.223.69;125.39.132.125;43.139.209.119)的请求。该请求均以较低速率进行,正常情况下不会影响小程序的正常服务。若确实出现了影响小程序正常业务的特殊情况,如用户无法进行小程序的正常访问,开发者可基于自身业务情况,对相应请求加以限频,如有其他疑问,欢迎随时通过官方社区进行反馈。

三、审核结果

安全检测的结果是小程序审核的重要参考。若小程序在安全检测中被检测到存在安全漏洞,该小程序的审核将不予通过。开发者可根据扫描报告中的修改指引,对安全漏洞进行相应修复后,再重新进行提审。

其他常见问题

Q1:可以选择不进行安全检测吗,是否会影响小程序代码提审结果?

A1:安全检测是小程序审核的环节之一,所有提审的小程序均需进行,若检测中发现安全漏洞或小程序故意采取措施规避检测,该小程序的审核将不予通过。

Q2:若在小程序代码审核已结束或审核已撤销的情况下,可以停止安全检测吗?

A2:若在小程序代码审核已结束的情况下,平台将持续进行未完成的安全检测直至完成,如有需要,开发者可通过平台提供的相应链接(在【小程序管理后台 → 通知中心】查看站内信即可)自行中止安全检测;若在小程序审核已撤销的情况下,平台将自动中止未完成的安全检测。

附表:安全检测内容详情



588858浏览
最后一次编辑于  03-08
收藏

71 个评论

  • 社区运营专员-wetingtu
    社区运营专员-wetingtu
    置顶评论2022-01-20

    公告历史更新记录:

    2022.1.20-------------公告文末新增附表,补充安全检测的内容详情

    2022-01-20
    赞同 4
    回复 18
    • 枫溪
      枫溪
      2022-05-26
      查了公告,好像没有没有 1.20的公告,有1.18和1.21的,而且1.18和1.21的也没看到 “补充安全检测的内容详情”
      2022-05-26
      1
      回复
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-05-26回复枫溪
      这里指的是本文的更新记录,即在1.20更新了最下文的附表
      2022-05-26
      1
      回复
    • 枫溪
      枫溪
      2022-05-26
      好的,谢谢哈,搞错了
      2022-05-26
      回复
    • 毕鲜生
      毕鲜生
      2022-09-11
      提示,代码审核进行安全测试,然后点了继续提交之后,就没有然后了,是这样的吗?怎么都应该给个提示框,提示已经提交审核了吧。。。
      2022-09-11
      4
      回复
    • 福
      2022-12-15
      我也是遇到了
      2022-12-15
      1
      回复
    查看更多(13)
  • !krong
    !krong
    2021-12-15

    我的小程序所在服务器有幸被微信审核攻击过

    频率并不低,请求量非常大,时间也很长

    2021-12-15
    赞同 16
    回复 15
    • !krong
      !krong
      2021-12-15
      中间还有这种注入请求:http://tst2.qq.com/Tst_Anyfile0.php
      都是微信的安全测试
      2021-12-15
      3
      回复
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2021-12-15回复!krong
      你好,目前安全检测的请求频率及检测时间均已进行相应优化,正常情况下不会影响小程序的正常服务哈
      2021-12-15
      2
      回复
    • 凉生丶
      凉生丶
      2022-02-16
      哈哈,刚刚被检测了,持续了20分钟,以为是服务器被攻击去处理,然后就被告知是新出的检测机制
      2022-02-16
      1
      回复
    • 海🇨🇳
      海🇨🇳
      2022-04-01
      刚被检测过,频率非常高请求量有10万左右,因为很多个小程序都使用同一个服务器批量,然后又同时修改了一些东西,感觉像触发了好几份检测
      2022-04-01
      1
      回复
    • 海🇨🇳
      海🇨🇳
      2022-04-01回复凉生丶
      我的从下午持续到了晚上11点
      2022-04-01
      回复
    查看更多(10)
  • 徐向阳
    徐向阳
    2022-09-22

    有一些接口完全没有使用数据库,只是调用了阿里云oss服务,安全检测对其进行了注入攻击,结果oss 500了,这个怎么搞?

    腾讯安全扫描来源的请求出现问题时不报警吗?这里面有2个矛盾的地方,如果所有腾讯安全扫描都不报警,那么真的出现问题时怎么知道呢?如果只是特定接口做处理,服务端有几百个接口,每次安全扫描看起来都会随机选不同的接口进行,每次小程序提审,都可能会导致我们服务器报警。这个真的合理吗?

    对于小公司而言,我们直接使用ORM,代码审查完全拒绝sql拼接,理论上讲根本不会发生sql注入。现在要不停的搞这种,我们自己安全不安全自己还不知道吗?你们只是个小程序,只是个客户端而已,要求所有公司后端做事方式必须按照于微信后端对齐运行真的合理吗?

    2022-09-22
    赞同 12
    回复
  • Freddy
    Freddy
    2022-11-11

    玛德,有幸被高频扫了5w+,🐺 QPS 高达46,持续时间4个多小时, 啥都有。

    希望你们顾点脸,互联网并非法外之地,懂规矩,守规矩。

    2022-11-11
    赞同 10
    回复 4
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-11-11
      你好,目前的检测频率不会高于15qps的哈,若按描述说的qps为46,那一小时的请求应该是46*60*60=16w+,这里看看是不是把其他的一些请求也算了进去哈
      2022-11-11
      1
      回复
    • 李承军
      李承军
      2023-03-16
      顶你上去,兄弟。
      2023-03-16
      1
      回复
    • 卡夫卡的熊
      卡夫卡的熊
      2023-04-12
      有一种看爽文里面被打脸的戏码,刺激 希望反扑
      2023-04-12
      1
      回复
    • 理发花二十
      理发花二十
      2023-12-14
      顶你上去,兄弟。
      2023-12-14
      回复
  • 海🇨🇳
    海🇨🇳
    2022-03-31

    我差点认为遇到ddos攻击了

    2022-03-31
    赞同 8
    回复
  • 言善
    言善
    2022-09-15

    您好,2022.09.14我们几个小程序遇到一个具有攻击性行为的微信号,微信名为:一人一生一辈子,头像地址:https://thirdwx.qlogo.cn/mmopen/vi_32/DYAIOgq83ep5UibXFnvnibWxSNiadzJxw8recRqRYS7ssvX1Pno0ACzib27JaayKOQhBKhk8FPfibsd0mx4epXnyaLA/132。请官方确认一下。

    2022-09-15
    赞同 3
    回复 1
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-09-16
      如果需要举报微信号,你可以至公众号【微信安全中心】哈
      2022-09-16
      2
      回复
  • 海蓝色贝壳🌸 🌻
    海蓝色贝壳🌸 🌻
    2022-01-21

    所以说现在的审核时间会比以前要延长了吗

    2022-01-21
    赞同 3
    回复 1
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-01-21
      安全检测只是审核的其中一个环节,不会影响整体小程序提审时长
      2022-01-21
      回复
  • 苏先生 @云古科技
    苏先生 @云古科技
    2021-12-28

    小程序的开发工具一直在更新升级

    同时,小程序的接口与功能也一直在变

    现在要求开发者,不能太频繁的更新小程序,是不是有点过分,你们团队的开发能力,远超普通的开发公司,你们都要这样频繁的更新小程序,汗啊!

    2021-12-28
    赞同 3
    回复 3
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2021-12-29
      此不为安全检测的疑问,请移步至相关专区进行发帖反馈,谢谢。
      2021-12-29
      2
      回复
    • 小马哥
      小马哥
      2022-03-05回复社区运营专员-wetingtu
      提交了几次了一直不行。用户隐私保护指引设置审核通过了,提交代码一直提示不一致。服了。这个能不能提交了代码之后,直接让用户填写应该填写的内容不是很直接吗?
      2022-03-05
      回复
    • 社区运营专员-wetingtu
      社区运营专员-wetingtu
      2022-03-07回复小马哥
      此不为安全检测的疑问,请直接至小程序专区进行发帖反馈,谢谢。
      2022-03-07
      回复
  • 六月溜溜溜
    六月溜溜溜
    2021-12-15

    已经上线的小程序,也会全量逐步进行这个安全测试吗?

    如果已上线的小程序安全测试不通过,会有通知整改吗,是否会影响线上体验?

    2021-12-15
    赞同 3
    回复 1
  • 滕继良
    滕继良
    01-16

    为什么我的个人小程序提交好几天后,一点消息也没有,也不告诉我审核结果,为什么?该联系谁?

    01-16
    赞同 2
    回复 1
    • 小岛
      小岛
      发表于移动端
      06-15
      同样
      06-15
      回复

正在加载...

登录 后发表内容