近年來(lái)，對(duì)抗演練的強(qiáng)度和手段不斷升級(jí)。小程序，這個(gè)在常規(guī)情況下很安全的地方，卻可能成為重保的關(guān)鍵突破口……

阿然所在的公司今年要參與重保活動(dòng)。

在幾天時(shí)間里，作為安全專家的阿然把域名、服務(wù)器等公司網(wǎng)絡(luò)資產(chǎn)仔細(xì)清點(diǎn)了一遍，并且分別制定了高效完善的安全策略。

忙活了一通后，他才放下心來(lái)，心想，“這下萬(wàn)無(wú)一失了”，于是泡了杯咖啡，開始暢想重保結(jié)束后升職加薪的美好生活~

幾天后，重保開始了。

起初，攔截攻擊的過(guò)程非常順利，阿然公司遙遙。但這樣的好日子并沒有持續(xù)太久...

某天，系統(tǒng)突然發(fā)出警報(bào)，云服務(wù)器上的信息被全部竊取了!阿然崩潰地開始盤查，結(jié)果發(fā)現(xiàn)，攻擊者居然通過(guò)小程序拿到了云服務(wù)器的密鑰，整個(gè)防御體系面臨的風(fēng)險(xiǎn)級(jí)別急劇升高!

阿然百思不得其解，小程序不是應(yīng)該擁有和平臺(tái)同樣的安全防護(hù)性能嗎?

其實(shí)，阿然的想法從一開始就錯(cuò)了~

和傳統(tǒng)Web服務(wù)類似，從小程序到云服務(wù)器的信息傳輸過(guò)程走的是公網(wǎng)鏈路，通過(guò)DNS解析請(qǐng)求到WAF/CLB等網(wǎng)關(guān)設(shè)備，最終回源到小程序服務(wù)器。這個(gè)過(guò)程中并沒有經(jīng)過(guò)微信專有安全鏈路，因此在重保期間有可能受到DNS劫持、中間人攻擊等多類型Web攻擊，進(jìn)一步導(dǎo)致服務(wù)端重要數(shù)據(jù)泄露。

在上面的案例中，阿然公司的小程序客戶端和服務(wù)器之間的信息傳輸經(jīng)過(guò)的也是公網(wǎng)鏈路，并且沒有對(duì)數(shù)據(jù)進(jìn)行任何加密處理。由于客戶端和服務(wù)器平常傳遞的數(shù)據(jù)包中會(huì)帶有相互識(shí)別身份的Access Key Id和 Secret Access Key，當(dāng)數(shù)據(jù)包被攻擊者攔截后，AK和SK便也落入了對(duì)方手中。攻擊者就可以拿著這個(gè)密鑰登錄服務(wù)器，對(duì)阿然公司的所有數(shù)據(jù)“為所欲為”了!

其實(shí)，與阿然相似的疏漏和誤解并不在少數(shù)。

目前，大多數(shù)策略的防御重點(diǎn)都聚焦在企業(yè)的Web應(yīng)用、FTP應(yīng)用、以及各種服務(wù)器上，但很少有企業(yè)意識(shí)到小程序安全防護(hù)的重要性!

雖然小程序大多由多層安全架構(gòu)防護(hù)，它的原生安全能力就可以滿足日常需求;但在重保期間，遇到無(wú)所不用其極的專業(yè)攻擊者時(shí)，還是無(wú)法起到完美的防護(hù)作用。

相似的案例還有很多：小帥是某小程序的用戶，之前在個(gè)人主頁(yè)上傳過(guò)自己的頭像、昵稱和其他個(gè)人信息。某天，小帥突然想看看自己的帥照，于是點(diǎn)擊了自己的頭像......

在日常情況下，小程序的原生安全能力完全能保障這個(gè)過(guò)程的安全性;但在重保期間，這個(gè)簡(jiǎn)單的動(dòng)作最終卻導(dǎo)致了大量的信息泄露……

這是因?yàn)椋盒�帥之前上傳頭像時(shí)，客戶端已經(jīng)與云存儲(chǔ)桶建立了連接，所以客戶端本地也存儲(chǔ)了AK/SK。因此，在小帥查看頭像時(shí)，客戶端與存儲(chǔ)桶之間傳輸?shù)男畔⒅幸矔?huì)帶有AK/SK。攻擊者攔截了這個(gè)過(guò)程中的數(shù)據(jù)包，輕而易舉便獲得了AK/SK。接著，攻擊者仿冒用戶，用AK/SK登錄云存儲(chǔ)桶，獲取了用戶存儲(chǔ)的所有個(gè)人信息。

除了由AK/SK泄露造成的信息泄露，公網(wǎng)鏈路的不安全性還可能導(dǎo)致小程序的信息傳輸面臨各種各樣的Web攻擊，比如DDoS攻擊、CC攻擊等，簡(jiǎn)直防不勝防。因此，對(duì)小程序進(jìn)行安全防護(hù)是重保期間勢(shì)在必行的重要措施!

那究竟有什么辦法，可以在常態(tài)化的重保期間，守護(hù)好小程序安全，避免他成為被攻擊的重點(diǎn)對(duì)象呢?答案是“騰訊云WAF-小程序安全加速”解決方案。

小程序安全加速是騰訊云WAF與微信團(tuán)隊(duì)聯(lián)合開發(fā)的云安全產(chǎn)品，它是提供了服務(wù)加速、服務(wù)高可用、Web攻擊防護(hù)、DDoS防護(hù)、防薅防爬、惡意流量攔截等能力的新一代安全加速服務(wù)。

在使用騰訊云WAF-小程序安全加速之后，小程序的流量將會(huì)從微信安全網(wǎng)關(guān)就近接入，使用微信安全全球骨干網(wǎng)傳輸，通過(guò)DNS解析請(qǐng)求到WAF/CLB等網(wǎng)關(guān)設(shè)備，最終回源到小程序服務(wù)器。

在這整條鏈路上，騰訊云WAF-小程序安全加速加速能夠?qū)崿F(xiàn)包括客戶端安全、傳輸安全、Web業(yè)務(wù)安全在內(nèi)的一站式全鏈路安全。

1、客戶端安全

使用微信私有協(xié)議加密數(shù)據(jù);流量風(fēng)控精準(zhǔn)識(shí)別異常流量;原生抗DDoS能力防止針對(duì)客戶端的惡意DDoS攻擊。

2、傳輸安全

接入微信專有鏈路，實(shí)現(xiàn)全鏈路加密與加速;同時(shí)，保障傳輸過(guò)程免受劫持、重放、中間人攻擊等不同形式的攻擊，還能實(shí)現(xiàn)數(shù)據(jù)防泄漏。

3、Web業(yè)務(wù)安全

提供強(qiáng)大的Web攻擊攔截能力，支持CC防護(hù)、BOT識(shí)別與API防護(hù)，全方位保證Web業(yè)務(wù)安全。

因此，在重保期間，騰訊云WAF-小程序安全加速能夠?yàn)榻尤氡窘鉀Q方案的小程序提供全方位的安全保護(hù)，有機(jī)會(huì)達(dá)到微信同等級(jí)安全水平，讓惡意攻擊行為無(wú)所遁形!

具體而言，騰訊云WAF-小程序安全加速具備以下優(yōu)勢(shì)：

1、數(shù)據(jù)加密

采用微信團(tuán)隊(duì)的自研私有協(xié)議來(lái)加密的信息，破解門檻和難度極高;同時(shí)二次封裝加密數(shù)據(jù)和接口，保障用戶重保期間全程無(wú)明文數(shù)據(jù)傳輸，在極大程度上降低業(yè)務(wù)數(shù)據(jù)暴露風(fēng)險(xiǎn)。

2、多重網(wǎng)絡(luò)攻擊防護(hù)能力

能夠防護(hù)多種多樣的網(wǎng)絡(luò)攻擊手段，包括400G+DDoS防護(hù)、CC防護(hù)、防DNS劫持、中間人攻擊等等;同時(shí)，還能提供分布式安全防護(hù)能力，實(shí)現(xiàn)低成本應(yīng)對(duì)DDoS攻擊。因此，能夠一站式解決重保安全防護(hù)問(wèn)題。

3. 流量風(fēng)控能力

能對(duì)賬號(hào)身份及特征等多維數(shù)據(jù)進(jìn)行智能模型分析，綜合判斷當(dāng)前請(qǐng)求是否安全。同時(shí)，結(jié)合異常行為分析，針對(duì)異常用戶、異常操作做請(qǐng)求攔截或驗(yàn)證校驗(yàn)，有效防止爬蟲爬取關(guān)鍵數(shù)據(jù)、防止羊毛黨搶走企業(yè)營(yíng)銷福利。

4. 接入簡(jiǎn)單

在公眾號(hào)授權(quán)后臺(tái)掃碼，即可自動(dòng)完成小程序接入，無(wú)需修改代碼，快捷方便。且除了小程序之外，也支持移動(dòng)端APP和網(wǎng)頁(yè)端的安全防護(hù)，實(shí)現(xiàn)多端覆蓋。

客戶案例

茶百道，作為國(guó)內(nèi)茶飲頭部品牌，一年賣出近8億杯，全國(guó)門店數(shù)超7000家。在2021年初，茶百道就推出微信小程序“茶百道點(diǎn)餐+”，布局私域營(yíng)銷體系。與此同時(shí)，圍繞小程序的黑灰產(chǎn)活動(dòng)也愈發(fā)活躍，網(wǎng)絡(luò)攻擊、刷流量等惡意攻擊行為層出不窮。

但是!有騰訊云WAF-小程序安全加速解決方案在，這一切問(wèn)題都將迎刃而解!2023年底，茶百道正式接入小程序安全加速解決方案，重拳出擊網(wǎng)絡(luò)黑灰產(chǎn)。

在茶百道“中國(guó)風(fēng)味地圖第一季”活動(dòng)開啟當(dāng)天(2024年1月30日)，大量黑灰產(chǎn)涌入，當(dāng)日搶券流量一度高達(dá)16萬(wàn)QPS，其中通過(guò)WAF小程序識(shí)別出來(lái)的異常請(qǐng)求超10萬(wàn)QPS。騰訊云WAF-小程序安全加速加速解決方案迅速作出反應(yīng)，通過(guò)我們先進(jìn)的防御策略和技術(shù)手段，攔截識(shí)別出的異常請(qǐng)求，抵抗持續(xù)不斷的網(wǎng)絡(luò)攻擊。

最終，在這次防護(hù)過(guò)程中，成功攔截了超過(guò)10萬(wàn)QPS的異常請(qǐng)求，以及超過(guò)4000萬(wàn)次的黑灰產(chǎn)攻擊，攔截比例96%+。更為重要的是，我們對(duì)協(xié)議掛攻擊實(shí)現(xiàn)了的狙擊，清洗了80%異常行為流量，有效地確保了茶百道小程序的平穩(wěn)運(yùn)行，保障了用戶的訪問(wèn)體驗(yàn)。

現(xiàn)在，騰訊云WAF-小程序安全加速解決方案推出限時(shí)免費(fèi)試用活動(dòng)，歡迎申請(qǐng)使用。