# 小程序漏洞扫描功能介绍

# 一、小程序漏洞扫描功能简介

为提高微信开放平台生态安全性，针对小程序开发过程中的安全问题，如敏感数据篡改、拖库信息泄露、WEB 攻击等安全问题，平台向开发者提供漏洞扫描功能，协助开发者及运营者发现后台接口漏洞 ，并给出相应的修复指引。后续会进一步提供基础解决方案，以便开发者及时发现漏洞并快速修复问题。

# 二、小程序面临主要漏洞风险

在小程序 Web 服务器中，存在如 SQL 注入、XSS 、敏感信息泄露等多种风险。针对现有小程序漏洞风险，微信开放平台提供针对WEB服务器漏洞、敏感信息检测于一体的漏洞扫描产品。

# 三、小程序漏洞扫描核心能力

小程序漏洞扫描，是针对 SQL 注入、XSS 攻击、信息泄露、目录遍历等 WEB 攻击方式，进行自动化扫描，对小程序业务 CGI 和 WEB 框架进行安全检测，提供整体的自动化漏洞检测工具。

# 四、产品优势

# 1、官方安全团队提供

微信开放平台官方安全检测团队，实战经验丰富

# 2、全面扫描多维监测

涵盖50项漏洞检测项，包含各类小程序常见漏洞

# 3、安全便捷无需开发

提供开发者工具和小程序后台两个入口，使用便捷

# 五、使用流程

# 1、微信开发者工具

1）打开请求页面：微信开发者工具编译小程序后，在调试器 -> Vulnerability，打开【域名获取】。

2） 获取并扫描域名：点击左侧小程序预览页不同的路径获取域名，在右侧【待扫描域名】处勾选域名后点击上方扫描按钮，等待扫描完成即可。注意：登录态可能会过期，需重新授权

3）扫描结果查看，域名扫描完成后在扫描框下方可查看扫描结果，被红色感叹号标记的域名表示该域名存在漏洞，点击该条域名可查看漏洞的风险等级、类型、风险描述、修复建议等详情，可参考建议检查修复漏洞，提高小程序的安全性，无标记则表示无风险。

# 2、小程序后台

1）请求步骤：登录小程序，在开发 → 开发管理 → 安全中心 → 接口安全扫描，点击开始扫描，获取参数后进行扫描，扫描开始前，请确认小程序服务器资源已准备就绪。

2）获取参数：可自动获取或手动填写，自动获取可选择获取线上版本和体验版的参数；手动填写需选择请求方式并填写 url、query 、header 相关信息，参数获取完成后即可开始扫描。

3）报告查看：扫描完成后可在或通知中心查看扫描报告。