小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面,涉及欺诈行为被处罚的经历分享
发布于 2 年前 作者 pgao 2096 次浏览 来自 分享

最近半年逛社区,发现有好多小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面,导致小程序被处罚的情况。

而大多数小程序开发者收到违规消息时候,也是一脸懵逼,这个页面压根不是我们小程序页面,怎么会这么显示?是不是有人恶意投诉?我们公司不搞这个活动,这是怎么回事?

前阵子我们小程序也出现了类似页面被小程序官方处罚,检查后原因是

第三方通过webview 对我们的特定业务做了xss注入攻击,导致访问该网页会直接跳转到第三方虚假活动的网页,以至于小程序出现该虚假活动涉诈的页面。

但从受害者和官方看来这个虚假活动页面就是小程序自身有的,无法区分该页面是用户本身恶意违规,还是被利用。

也分享两点经验教训:

1.waf不一定能防护住xss攻击

一开始我们以为waf能防住他们的xss攻击,后来发现这个黑产团队很专业,他们的攻击绕过了我们的waf相关服务;

2.管控好小程序配置的业务域名,做好安全加固

过去为了方便,将老的容易被攻击的域名配置到小程序业务域名上,让那些网址可以通过webview打开。也因此导致了黑产通过这些业务利用我们小程序开展非法活动。


希望各位开发者能做好小程序安全加固,避免出现此类风险

也希望有其他大佬能一起在小程序社区分享些黑产对抗经验


2 回复

如果遇到类似问题有其他情况,也希望大佬能在评论区分享下

怎么处罚的?

回到顶部