最近半年逛社区,发现有好多小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面,导致小程序被处罚的情况。
而大多数小程序开发者收到违规消息时候,也是一脸懵逼,这个页面压根不是我们小程序页面,怎么会这么显示?是不是有人恶意投诉?我们公司不搞这个活动,这是怎么回事?
前阵子我们小程序也出现了类似页面被小程序官方处罚,检查后原因是:
第三方通过webview 对我们的特定业务做了xss注入攻击,导致访问该网页会直接跳转到第三方虚假活动的网页,以至于小程序出现该虚假活动涉诈的页面。
但从受害者和官方看来这个虚假活动页面就是小程序自身有的,无法区分该页面是用户本身恶意违规,还是被利用。
也分享两点经验教训:
1.waf不一定能防护住xss攻击
一开始我们以为waf能防住他们的xss攻击,后来发现这个黑产团队很专业,他们的攻击绕过了我们的waf相关服务;
2.管控好小程序配置的业务域名,做好安全加固
过去为了方便,将老的容易被攻击的域名配置到小程序业务域名上,让那些网址可以通过webview打开。也因此导致了黑产通过这些业务利用我们小程序开展非法活动。
希望各位开发者能做好小程序安全加固,避免出现此类风险
也希望有其他大佬能一起在小程序社区分享些黑产对抗经验