守护企业小程序安全，稳驾业务增长快车

小程序安全与加速最佳实践分享 •王磊 •腾讯云安全产品经理 讲师介绍 姓名王磊 负责腾讯云小程序网关、Web应用防火墙等产品运营和ToB商业化工作，有着丰富的云安全项目落地经验 腾讯云安全产品专家 目录Menu •1、小程序业务痛点概述 •2、小程序安全与加速最佳实践分享 小程序业务痛点概述 小程序性能/安全常见问题 请求质量差 黑灰产攻击 羊毛党 数据安全 网络延时高 小程序访问成功率低、响应速度慢，整体小程序体验不佳，造成相当规模的经济损失及客诉 攻击防护 小程序端可能面临Web安全攻击、API利用、CC攻击等安全威胁，黑客对小程序系统发起漏洞攻击，绕过用户身份鉴权、业务逻辑等，实现套利 防薅羊毛 在小程序营销活动中，黑产通过机器注册、批量登录、虚假设备等违规手段“薅羊毛”，使得客户的营销引流效果大打折扣，营销资源浪费； 数据安全 涉及用户的账号信息、身份信息、订单信息等内容，所有接口需要严格加密 小程序安全与加速最佳实践 最佳实践：小程序网关——新一代安全与加速服务 •本产品是与微信团队联合开发的云安全产品，用户可以享受与微信同等级的安全加速能力 移动APP 微信SDK 微信风控引擎 API安全 BOT流量对抗 业务源站 腾讯云 小程序 微信SDK （一键集成） 微信独家私有协议 微信加速链路 微信DDoS防 护 微信安全网关 腾讯云WAF 其他云 DNSCNAME解析 IDC机房 H5访问 微信SDK 用户接入层 小程序安全加速 后端业务源站 微信加速链路 小程序安全加速+WAF防护 接口及数据私有协议加密 Web攻击防护 微信自研加密协议 •小程序安全加速提供了集服务加速、服务高可用、Web攻击防护、DDoS防护、防薅防爬、恶意流量拦截等能力的新一代安全加速服务 核心功能一：优化请求访问质量 不明网络问题导致小程序访问服务失败？有效解决各种网络相关疑难杂症 99.9%+ 业务请求成功率 弱网加速 核心功能一：优化请求访问质量 接入小程序安全加速后，茶百道用户访问小程序的成功率接近100%。在茶百道“中国风味地图第一季”活动期间，相比公网请求，接入后茶百道用户平均访问耗时降低了22%，P95访问耗时降低了33% 优化访问质量，解决由于网络环境差导致的小程序无法打开、支付不成功等问题 北京 弱网加速 微信多IDC链路 上海 深圳 弱网加速 只要微信能打开，你的小程序就可以使用 多节点接入，弱网环境下访问速度可提升300%服务高可用，业务访问成功率可提升70% 核心功能二：避免业务数据被爬取，保护企业敏感数据 100%+ 数据二次封装加密 极大提高协议破解和数据爬取门槛 微信SDK前端加密，有效保护企业数据资产 •二次封装加密数据及接口，无明文数据 •微信自研私有协议加密，破解门槛及成本极高 账号、密码等重要信息加密需要自己实现 通过微信自研协议，自动加密包括接口在内的所有数据 核心功能三：抵御黑灰产，有效拦截恶意流量 端+网关双重防护，提供「WAF+小程序风险识别」双重保障 微信大数据 96%+ 异常流量拦截比例 正常用户 攻击者 黑灰产 外挂爬虫 添加回源头部-风险等级标签 微信安全集群 WAF BOT流量管理 小程序安全加速 动态令牌 用户/请求异常分析 业务服务器 •账号风控，有效拦截异常用户请求 •用户特征分析模型，异常用户请求二次校验 •十大BOT典型对抗场景，预制140+专家运营规则 核心功能四：提供分布式安全防护能力，低成本应对DDoS攻击 多地就近接入，提供DDoS防护、CC防护、Web攻击防护等多重防护能力 400G+ DDOS攻击防护能力 高性价比的DDOS攻击防护能力 核心功能五：独家测试工具，压测发现服务瓶颈 Eg.支付/购买流程压测 微信登录 选购商品 支付 订单状态 完成 真实还原业务的海量高并发场景，及时发现服务瓶颈 微信真实帐号 真正全链路压测 只能压测小程序业务接口？只能模拟请求？ 小程序压测工具，微信真实账号全链路压测，问题早发现早解决可提供10万微信真实账号，模拟最真实的实际业务访问场景 客户案例（一）某收付款工具 业务挑战 1.网络600001报错，排查不出具体原因 2.每天报错占比较高，损失大 安全网关解决方案 1.微信私有协议，提供安全稳定的链路通道 2.有效解决各种网关疑难问题，服务成功率可达99.9%以上 客户案例（一）某收付款工具 98.97% 网络访问成功率 接入前 接入前 接入后 接入前 网络访问成功率 99.96%+ 高于标准http最高值99.79% 客户案例（二）某团购电商 该业务接入前遇到的主要业务问题： 1.核心业务数据被爬，例如：商品价格数据、门店自提点信息、秒杀优惠单品和定价等 2.下沉市场用户设备、网络环境复杂，弱网访问体验不好 该业务团队技术实力非常强，多年来建设一套自研协议，涵盖网络通信优化、通信数据安全和DNS防劫持等能力。 然而小程序前端源码包可获取webkit等信息，该业务团队尝试多种技术方案，包括代码加固、7层转4层通讯等均没有成效。 最终通过多方对比，采用微信安全网关的方案，目前持续使用；同时多个小程序也使用此套方案。 客户案例（二）某团购电商 接入前 接入前 99.53% 网络访问成功率 99.94% 接入前 接入后 网络访问成功率 高于标准http最高值99.79% 最佳实践解决方案价值点 优化业务访问质量 网络加速提升稳定性 提供就近接入、弱网加速能力，通过使用微信同等级的多IDC链路，有效降低用户访问延时，同时优化三四线城市及商场等弱网环境访问质量。只要微信能打开，业务小程序就可以使用，显著提升客户端访问成功率及终端用户体验。 数据安全 数据防爬 提供微信私有协议加密能力，二次封装加密用户数据和接口，全程无明文数据传输，极大的提高外部抓包破解门槛，有效保护企业无形数据资产。 业务安全 防薅羊毛恶意攻击拦截 提供集DDoS攻击防护 （400G+）、账号风控防护 （微信）、Web应用防护等能力为一体的一站式安全防护方案。可抵御99%以上的异常流量，有效拦截异常用户、异常请求，让业务把优惠福利真正的给到目标用户。 仿真压测 真实账号全链路压测 提供微信真实账号全链路压测能力，通过真实用户请求业务接口&微信开放接口，快速发现后端服务的卡点，帮助您轻松应对各类大型活动的流量挑战，确保服务始终可靠。 小程序安全加速—更多能力 业务高可用 自定义安全链路 多端可用 接入快捷 提供API流量治理能力，保障业务高可用 链路透明简单，自主配置服务接入点、路有规则 APP、微信小程序、Web等业务可多端接入 不改变现有架构，快速接入 案例展示 感谢观看！ Thankyou 小程序网关核心能力解读 •刘吉赟 •腾讯云WAF研发总监 讲师介绍 姓名刘吉赟 负责腾讯云WAAP产品线，多年丰富的TOB研发和产品管理经验，从0构建Web应用防火墙，Bot流量管理，API安全等多个产品 腾讯云安全产品专家 目录Menu •1、数据加密能力解读 •2、网络加速与弱网优化能力解读 •3、安全风控能力解读 数据加密能力解读 通过微信SDK前端加密，可以有效保护企业数据资产什么是MMTLS协议？ 通过微信自研协议，自动加密包括接口在内的所有数据 账号、密码等重要信息加密需要自己实现 微信私有数据加密协议MMTLS 微信私有加密MMTLS协议详解 微信网关 1、ECDHClientHello/PSKClientHello 2、ECDHServerHello/PSKServerHello 小程序 3、获取微信用户token 4、响应token等信息或者拒绝访问 安全风控 私有协议 DDOS防护 客户业务源站 WAF 1、MMTLS协议协商，建立TLS连接。PSK无效时，采用ECDH秘钥协商 2、客户端携带客户端信息及用户信息，获取登录token等信息； 3、依据判定用户是否合法，响应token信 息或者拒绝访问。 小程序客户端 微信网关 1、信息加密 2、完整性检查 3、身份验证 4、防重放 虚拟可信通道 网络层 网络层 mmtls mmtls 业务层 业务层 网关通过给业务层级网络层添加定制化包头方式，针对数据信息加密及完整性校验，达到不入侵业务原始数据的情况下，针对业务数据加密。 网路加速与弱网优化能力解读 客户端优化策略——Socket链接优化 Socket链接优化（链接优化与弱网可用性） •创建链接优化策略 •维持链接优化策略 内置NEWDNS解析服务 •解析时间优化 网关域名解析默认跟随sdk一同下发，跟随应用初始化时一同下发。对应会提前提供一些列对应的ip：port列表。内置的newdns定期缓存网关域名的解析数据，业务在发起应用层请求时，即可复用newdns解析结果。可以避免解析导致的耗时。 •解析地址优化 Newdns基于httpdns能力的基础上，进行dns域名解析，避免了因为诸如运营商DNS劫持、封禁等localdns连接异常、使用异常的场景 MMTLS加密握手优化 优化了握手和密钥扩展过程，减少网络交互次数，提高性能。 客户端优化策略——DNS解析优化、加密握手优化 客户端优化策略——其他策略 连接耗时和稳定性 通过优化连接和维持的过程，提高连接的稳定性和效率。 收发包耗时和稳定性： 对收发包过程进行优化，减少数据传输的延迟和丢包率。 后台长链接优化： 针对后台长链接，在心跳策略、Push及时性等方面进行优化，保持连接的稳定性和效率 安全风控能力解读 微信流量风控模型介绍 1.精准识别。基于智能分析模型，综合账号身份、设备、用户行为特征、环境等小程序场景下多重维度数据分析。 2.灵活性高。支持业务自定义拦截策略、业务自定义拦截显示页面、业务自定义人机交互验证页面。 3.人机交互验证。网关检测到用户当前网络环境异常，支持人机验证。 4.实时数据监控。分钟级拦截异常请求数据监控，支持查看详细拦截日志。 微信流量风控模型——风控流程详解 在完成基础协议层面清洗后，风控的对抗会进一步升级，因此风控分为多个模块进行识别和清洗。 通过账号风控快速预知用户账户的风险信息，通过设备与行为风控，实时检测仪访问端点的异常行为信息快速检出异常访问信息。 优势： 1.更低的接入成本，用户不需要在服务器再次发起验证请求，只需要在控制台对配置勾小程序防护，不需要在小程序侧做消息通信逻辑，相对来说，业务改造量较小 2.微信用户体系优势，拥有，对于高风险用户有更强的把控能力 3.更丰富的行为特征，相对于默认验证码验证码，可以静默识别异常的维度更多，用户体验更好 4.有API维度的信息，可以对user/path/body/流量模式/访问ip来源做主动感知，更接近实际业务模型，识别更准确 感谢观看！ Thankyou 业务风控与小程序检测 最佳实践分享 导师介绍 姓名：王雷雷 负责腾讯云业务风控，小程序检测等产品的商业化工作，主攻零售、泛互、文旅行业，具备多年的行业与方案落地经验 业务安全高级产品经理 目录Menu •各行业面临的业务安全风险 •如何应对业务风险 •实战案例 各行业面临的业务安全风险 文旅行业：黄牛抢票 黄牛党”通过技术手段进行加价抢票、倒买倒卖等扰乱市场秩序 行业风险 各行业面临的安全风险 零售行业：薅羊毛 互联网行业：虚假流量 黑产会操纵大量账号使用自动化脚本工具参与营销活动，获取优惠券奖以及特价商品，通过收取费用代人下单，从而获取利益 黑产利用虚假设备，虚假账号，模拟真人注册与点击行为进行刷量，造成虚假繁荣，影响业务判断 质量问题 安全风险 小程序面临的安全风险 山寨仿冒 用户信息泄露、体验下降、品牌形象受损、经济损失、法律风险