安全中心
最新提问- 全部
- 文章
- 问答
- 全部
- 文章
- 问答
置顶AppSecret存在历史泄露,审核未通过?
1:小程序功能不符合规则: (1):你好,检测发现你的小程序AppSecret存在历史泄露且仍然有效,请进行重置后提审,并及时修改后台代码,避免无法使用微信API。 请妥善保存AppSecret,不要在前端请求或小程序代码内传输、记录AppSecret 但是代码已经更改了,前台没有密钥传输,还是审核未通过,请问怎么解决啊;
2022-05-14置顶安全测试问题
我这边是华为亿商的开发者,我们在安全整改中扫描出您这边的com/tencent/mm/opensdk/channel/a/a.java类存在Cipher安全漏洞:使用不安全的加密方式,会造成无法满足加密保护需求,攻击者可通过特定方式获取被加密的明文。 可以澄清一下该位置是否存在漏洞吗?
2022-05-13置顶为什么昨天到今天老是出现内容安全的报错请求信息呢?
cURL error 28: Operation timed out after 5000 milliseconds with 0 out of 0 bytes received (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/cgi-bin/component/api_component_token {"exception":"[object] (GuzzleHttp\\Exception\\ConnectException(code: 0): cURL error 28: Operation timed out after 5000 milliseconds with 0 out of 0 bytes received (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/cgi-bin/component/api_component_token at /www/wwwroot/vot-gather/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php:210) [2022-05-13 10:40:25] production.ERROR: cURL error 28: Operation timed out after 30000 milliseconds with 0 bytes received (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/msg_sec_check?access_token=56_h-musXwSFQu_PLr14ESYf0HmD8Lf2FIH28S-KfFfIu1S_RMLjVYKm1784Li5nmmTnjuMGo6QhHpm_4GJcMBsA0zcM6VgLnL1kpJna-zQHxgB19Dt8QM3DbzN7frs2xRQqVD1wBZk1q7paRXsBDJcABAJLR {"exception":"[object] (GuzzleHttp\\Exception\\ConnectException(code: 0): cURL error 28: Operation timed out after 30000 milliseconds with 0 bytes received (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/msg_sec_check?access_token=56_h-musXwSFQu_PLr14ESYf0HmD8Lf2FIH28S-KfFfIu1S_RMLjVYKm1784Li5nmmTnjuMGo6QhHpm_4GJcMBsA0zcM6VgLnL1kpJna-zQHxgB19Dt8QM3DbzN7frs2xRQqVD1wBZk1q7paRXsBDJcABAJLR at /www/wwwroot/voting-gather/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php:210) [stacktrace] [2022-05-13 13:58:23] production.ERROR: cURL error 35: OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to api.weixin.qq.com:443 (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/msg_sec_check?access_token=56_3D5diiJSRcdg1uLd3cq4YgemdLYeBY-DnZGIE5dutjKqBJY7FWdk0SCok1OGo4R5QeZCPamBx883xgAUDWcUzHL-GPF9krtK_VTNSN6mgOfmpMoPLACsGULH88E-xUfu3rO2bsaTRu6DOMSoBBYhAHAMMJ {"exception":"[object] (GuzzleHttp\\Exception\\ConnectException(code: 0): cURL error 35: OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to api.weixin.qq.com:443 (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/msg_sec_check?access_token=56_3D5diiJSRcdg1uLd3cq4YgemdLYeBY-DnZGIE5dutjKqBJY7FWdk0SCok1OGo4R5QeZCPamBx883xgAUDWcUzHL-GPF9krtK_VTNSN6mgOfmpMoPLACsGULH88E-xUfu3rO2bsaTRu6DOMSoBBYhAHAMMJ at /www/wwwroot/voting-gather/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php:210) [stacktrace] [2022-05-13 14:04:21] production.ERROR: cURL error 35: OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to api.weixin.qq.com:443 (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/getwxacodeunlimit?access_token=56_x0LFBPpyJ9ZuSfITbuEl876gAjH-SUCP9JIne4B7b-LrTg1Lrttb8ihXvl_b3NMCfW5ZE_hYOEX0hsiYJrtPVAwgyi5vTO48_VViXX_56OV2fV68BW3fnSy0zS_NtCTX3B9nhvdfDA5F4M42NMLaAIAGFE {"exception":"[object] (GuzzleHttp\\Exception\\ConnectException(code: 0): cURL error 35: OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to api.weixin.qq.com:443 (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.weixin.qq.com/wxa/getwxacodeunlimit?access_token=56_x0LFBPpyJ9ZuSfITbuEl876gAjH-SUCP9JIne4B7b-LrTg1Lrttb8ihXvl_b3NMCfW5ZE_hYOEX0hsiYJrtPVAwgyi5vTO48_VViXX_56OV2fV68BW3fnSy0zS_NtCTX3B9nhvdfDA5F4M42NMLaAIAGFE at /www/wwwroot/voting-gather/vendor/guzzlehttp/guzzle/src/Handler/CurlFactory.php:210) [stacktrace]
2022-05-13置顶小程序代码中已没有AppSecret字段,还是审核不通过?
小程序功能不符合规则: (1):你好,检测发现你的小程序AppSecret存在历史泄露且仍然有效,请进行重置后提审,并及时修改后台代码,避免无法使用微信API。 请妥善保存AppSecret,不要在前端请求或小程序代码内传输、记录AppSecret。这个要怎么处理,把代码中的appSecret字段及它的值都删掉吗?
2022-05-12置顶2022年5月11号17点50分左右调用img_sec_check图片安全监测问题?
2022年5月11号17点50分左右出现挺多会返回错误码87015 完整的响应消息:{"errcode":87015,"errmsg":"query timeout, try a content with less size rid: 627b8848-700ed88e-7b4adb0d"}
2022-05-11置顶security.imgSecCheck 一直报604102,请问是怎么回事?我也没频繁调用
appid:wx9a6f52b6e667ebcc
2022-05-11置顶安全API是否可以h5调用?
想问一下,这个腾讯内容安全API是针对小程序的吗,公众号h5页面能不能调用
2022-05-11置顶security.msgSecCheck 内容安全接口,Java调用API接,所有的词返回都是OK?
security.msgSecCheck 内容安全接口 2.0 版本接口,文本编码使用的是utf-8的,输入各种文本,都是校验通过 [图片] [图片]
2022-05-11置顶检测发现小程序AppSecret存在历史泄露且任然有效,审核不通过?
代码中并没有Appsecret,secret等敏感风险字段,审核不通过AppSecret存在历史泄露,提交两次都没有通过之前的版本迭代一直没有问题。
2022-05-10置顶imgSecCheck调用时总是不是返回结果,而是抛出异常?
[图片] 这是第一种异常,是调用API超时,正常(不是黄色图片)的图片(1M以内)也会报这个错误,这个不知道怎么解决。 [图片] 这是第二种异常,说是内容有风险,但是为啥不直接抛出结果说是内容有风险,而是抛出异常说内容有风险呢。。。
2022-05-10置顶明文相关问题?
你好,检测发现你的小程序AppSecret存在历史泄露且仍然有效,请进行重置后提审,并及时修改后台代码,避免无法使用微信API。 这是什么原因,我全局搜索代码也没看到相关明文啊?
2022-05-09置顶小程序提交审核总是通不过?提示包含明文的AppSecret存在泄漏的安全风险
(1):你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险 我已经提交了7,8次了,每次都是这个,我已经按照要求把小程序代码中所有的secret字样去掉,密钥也已经修改为后端获取了,不理解为什么还是通不过,通不过你告诉我具体哪里没改好也行啊,这样让人摸不着头脑
2022-05-09置顶无法查出审核失败原因,麻烦告知下?
失败原因1审核失败原因 你好,检测发现你的小程序AppSecret存在历史泄露且仍然有效,请进行重置后提审,并及时修改后台代码,避免无法使用微信API。 请妥善保存AppSecret,不要在前端请求或小程序代码内传输、记录AppSecret。<a href="https://developers.weixin.qq.com/community/develop/doc/0004a84fcb0bb0e89eddbaa5156401?source=templateb">参考文档 </a> 我查看过文档,我代码中相关appsecret密钥都放到后台了,前端没有传递 现在代码中有: 1、通过code获取openid和seesion_key,用来解密手机号 2、账号登录,传了个AppID,不知道有没有影响。
2022-05-09置顶按照2.0的文档方式请求,返回47001
https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/sec-check/security.msgSecCheck.html
2022-05-09置顶关于小程序打不开的问题?
你好,当前提审小程序包中可能包含明文的AppSecret,存在泄漏的安全风险。一旦被恶意用户通过技术手段获取你的AppSecret,对方可以通过调用API获取你的小程序敏感数据,如接口调用凭证、用户信息、用户使用数据、小程序码等。出于安全考虑,开发者应将AppSecret保存 到后台服务器中,并严格保密,不向任何第三方等透露。建议你立即调整技术方案,去除小程序包中的AppSecret字样并重置可能已泄漏的AppSecret,消除风险。
2022-05-09置顶提交无数次了,还是审核不过?
[图片] 已经多次排查未发现[图片][图片] 排查内容包括可能包含明文的AppSecret(包括但不限于当前小程序的AppSecret、appsecret、secert、key、app_key、server_key) 最主要的是上一次出现这个问题,这边已经都解决了 ,距离上次提交已经提交第三次版本,我真的不知道是啥原因,为什么这次提交不过 ,我都提交一天了,最重要的是官方不给任何日志和提示,一个驳回,希望小程序能不能以后给人一个错误日志,我按照你的排查了 没有问题 ,我只能一直提交,直到审核成功为止
2022-05-07置顶riskControl.getUserRiskRank 风险用户的判断依据有哪些?
https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/safety-control-capability/riskControl.getUserRiskRank.html riskControl.getUserRiskRank根据提交的用户信息数据获取用户的安全等级 risk_rank 官方判断用户风险的依据有哪些呢。可以简单列举吗
2022-05-07置顶版本不通过?
[图片] 核查多次这个问题 是不是误判断了
2022-05-07置顶检测发现你的小程序AppSecret存在历史泄露且仍然有效,请进行重置后提审,并及时修改后台代码?
请问这个必须要重置AppSecret吗[图片]
2022-05-07置顶接口安全检查的配置文件到底放哪里?
校验文件怎么放? api路径都是虚拟路径,应该放在哪里 域名的根路径还是api的路径呢? 域名的根路径是指这样吗 https://域名/校验文件
2022-05-07
你好,请按以下操作指引进行:
1.后端API接口请勿把AppSecret敏感信息返回给前端(包括前端请求或小程序代码内传输、记录AppSecret)
2.立即登录小程序管理后台,在【开发-开发管理-开发设置】中对AppSecret进行重置。由于Appsecret存在历史泄露且仍然有效,务必进行重置才可消除风险,以免被攻击者恶意利用,请尽快按指引进行修复
3.对AppSecret进行重置后,请及时修改后台代码,以免无法使用微信API