小程序安全方案发布24小时后,咨询最多的10个问题

1,531 阅读4分钟
9月6顶象技术推出了国内首个微信小程序安全解决方案。该方案能够有效防范账号、交互、交易、信息等各类风险,保障150万小程序的运行安全。 方案发布后,客服部门收到大量的咨询电话及留言。我们摘选了咨询最多的10个问题。

 Q:顶象小程序设备指纹对于防范黑产的作用有多大? 

A:黑产普遍采用设备多开、设备模拟等方式来进行垃圾注册、薅羊毛等行为,顶象小程序设备指纹可以判断设备的唯一性,能够非常高效的识别出这些设备是不是存在多开、模拟等行为。 

Q:顶象小程序设备指纹会不会造成个人信息泄露? 

A:不会。小程序设备指纹只是根据设备信息生成设备ID,在设备层面判断风险,不涉及到用户身份层面等隐私信息。

 Q:顶象小程序验证码对比传统的验证码有什么优势? 

A: 1、小程序验证码只需要用户轻轻一滑,不需要思考或者输入,体验更优秀。

 2、小程序验证码对于人机及恶意行为的识别率达到98%,可有效封堵黑产。

 3、小程序验证码集成了代码混淆加密服务,有效防范黑客破解篡改。 

Q:顶象小程序验证码如何判断人机行为?

 A: 1、操作环境检测:侦测用户设备、网络环境等信息,及时发现异常的操作环境。 

2、轨迹模型检测:侦测异常轨迹、异常轨迹耗时、轨迹重放等信息,有效识别机器模拟轨迹、轨迹录制等手段。即使短时间内黑灰产尝试成功,也迅疾被模型策略聚类侦测出异常的点进行覆盖。

 3、关联性检测:将IP、设备、验证失败、验证次数等信息,进行关联性侦测,有效识别短时间内异常关联性,控制黑灰产尝试频度。

 Q:顶象小程序验证码接入复杂嘛?

 A:只需要按照以下步骤就可以轻松接入: 

1、在小程序管理后台的“设置-第三方服务-插件管理”中搜索“顶象”,然后关联顶象小程序验证码。

 2、前往顶象技术官网注册,获取验证码应用密钥。 

3、根据示例,接入小程序。 

Q:顶象小程序验证码可以选择哪些验证模式?

 A:共有二种模式可供选择: 智能无感模式:系统采集环境信息并自动进行验证,安全用户无需任何操作。 强校验模式:强制用户每次都要完成验证方可通过。

 Q:顶象小程序代码混淆加密服务是怎么用的? 

A:首先,源代码通过语义分析之后得出AST;然后,AST经过混淆引擎的混淆之后得到新的AST;再有,新的AST经过语法还原、压缩之后得到最终的混淆后代码。

 Q:顶象小程序代码混淆加密服务与常见的uglify有什么区别?

 A:uglify 是JS代码压缩工具,其主要目的是减少文件体积,虽然有一定的混淆功能,但是较弱。顶象小程序代码混淆加密服务是针对混淆的特别优化,防破解还原的能力增强了很多。 

Q:想提高小程序的安全性,但是不知道安全问题出在什么地方怎么办? 

A:这种情况可以使用顶象针对小程序的渗透测试服务。顶象的安全工程师会模拟黑客的攻击方式,对安全性进行深入的测试,发现应用中最薄弱的环节。

 Q:通过顶象的渗透测试可以发现什么样的风险? 

A:能够发现网络、系统、主机、应用等层面的安全问题,包括但不限于内容类漏洞、活动类漏洞、订单类漏洞、接口漏洞、支付类漏洞、注入类攻击、跨站脚本攻击、服务端请求伪造、错误信息泄露等问题。