報告 | 微信小程序生態體系的黑灰產研究報告
導 讀
微信小程序,自2017年上線至今,發展迅猛。到2020年,微信小程序日活破四億,MAU為8.3億,微信小程序的交易規模更是突破2萬億,形成了豐富且龐大的商業生態體系。小程序作為一種輕量應用,開發簡潔,成本低,迭代快,使用便捷,但安全能力建設卻沒有及時跟上。因此,基于龐大商業生態的轉移,以及相對薄弱的安全防護,使得圍繞小程序的黑灰產活動越來越活躍,各種薅羊毛、刷流量的營銷欺詐事件層出不窮,企業線上經營活動蒙受巨大損失。
本報告基于永安在線對微信小程序黑灰產的長期監控和研究,從以下幾個方面來剖析基于微信小程序生態的黑灰產活動,并提出防護思路,期望以專業、全面的視角幫助企業認知產業、加強防御、避免損失。
報告目錄
一、微信小程序黑灰產活動現狀
二、小程序黑灰產業鏈分析
三、小程序攻擊案例分析
四、小程序攻防難點和防護建議
一、微信小程序黑灰產活動現狀
01、針對小程序的攻擊快速增長,攻擊以營銷作弊為主
隨著微信小程序自身的快速增長,以及依附于小程序的黑灰產業鏈的成熟,針對小程序的攻擊也呈現出快速增長的趨勢。基于永安在線業務安全情報平臺捕獲的黑灰產工具數據,統計得出從2020年1月至今小程序自動化攻擊工具的數量走勢,如下所示:
大量自動化攻擊工具的出現,一方面說明小程序給黑灰產帶來了足夠大的利益,使得專業的黑灰產團伙愿意投入資源和技術;另一方面也說明了目前小程序的安全未能有效阻擋或限制黑灰產,從而導致黑灰產攻擊的活躍。
當前的攻擊目標以企業在小程序上開展的營銷活動為主,通過虛假注冊、虛假邀請、黃牛搶購等方式進行作弊,造成營銷費用損失的同時,企業業務也沒有得到健康增長。
從長遠來看,自動化攻擊(也稱BOT攻擊)還會帶來更多的安全風險,包括惡意爬取企業數據/用戶數據、刷接口、CC攻擊導致服務不可用等,而大量垃圾賬號的涌入,對平臺的生態也會造成巨大的破壞,包括刷量刷單帶來的虛假數據,網絡水軍對輿論的操控,傳播網絡色情、賭博、詐騙等違法行為。
02、傳統行業線上業務成攻擊重災區,攻擊遍布各行各業
依托于微信,小程序在便捷性、穩定性、用戶觸達等方面具備天然的優勢,使得小程序成為了眾多傳統行業將業務從線下拓展到線上的首選,并發揮出巨大的作用。另一方面,這些企業相對缺乏黑灰產的了解和攻防對抗的經驗,因此在享受小程序帶來的紅利同時,也成為了黑灰產攻擊的重點目標。基于永安在線業務安全情報平臺的數據,對被攻擊的小程序從行業上進行了劃分,并統計出攻擊占比,如下所示:
食品餐飲:“民以食為天”,傳統的食品餐飲行業,以酒水、飲料、茶點、零食等為代表,借助小程序從線下拓展到線上,為客戶提供更便利更優質的服務,但同時也被黑灰產盯上,成為了被黑灰產攻擊最多的行業。針對食品餐飲行業小程序的攻擊主要有免單、搶券、秒殺搶購等。
電商購物:電商購物一直是黑灰產攻擊的重點行業。除了頭部的互聯網電商平臺,在小程序生態下還涌現出了一些傳統企業自建的電商平臺,這些平臺往往會通過拼團、砍價、積分換購等業務模式來進行社交營銷和消費,然而這種業務模式已經被黑灰產熟悉并利用,商家的讓利往往被黑灰產攫取了大頭。
生活服務/出行住宿:互聯網服務已經覆蓋了我們生活和出行的方方面面,小到外賣、快遞、打車、住店,大到婚姻、教育、醫療、養老等。這里面既有大大小小的互聯網公司,也有數字化轉型的非互企業,還有政府為了提高居民質量或吸引游客而開發的線上服務。在普通民眾生活獲得便利的同時,黑灰產也從中獲取了利益。
房地產/汽車制造:房地產和汽車制造可以說是非常典型的傳統行業,在數字化轉型的浪潮中,這些企業一方面通過小程序來承載原有的業務,如看房/車、買房/車、租房/車等,另一方面也會通過小程序對業務進行豐富和拓展,如提供業主/車主服務,舉行福利活動等。其中福利活動中包含一些線上邀請好友助力的活動,黑灰產可以輕易從中獲利。
商超百貨/數碼家電/服裝飾品/美妝洗護:這些行業數字化轉型中最大的變化就是將商品買賣從線下的實體店拓展到了線上,其中就包括小程序。大部分企業往往會借鑒電商的營銷思路,比如一些國內外知名的運動品牌、化妝品牌等,會在某些時間段(節假日或電商促銷日等)推出自己的營銷活動,給到用戶足夠大的優惠。在線下實體店這些優惠給到了真正想要購物的客戶,而在線上這些優惠往往落手到了黑灰產手中,比如黃牛黨、炒鞋黨等。
03、小程序攻擊成本低,攻擊極易規模化
賬號資源和設備資源是黑灰產攻擊的主要成本。小程序的賬號依托于微信授權登錄,目前出售的價格,1個賬號僅需0.1到0.5元;與之對比的是App的賬號,主要依托于手機接短信驗證碼,價格普遍要高出不少,一些熱門的業務價格則更貴(注:這里僅限于單次授權/接碼的價格對比,不包含養號或老號出售)。
黑灰產攻擊的規模越大,需要的賬號越多,小程序在賬號資源上的價格優勢就越明顯。
此外,根據永安在線鬼谷實驗室安全專家的分析,目前針對小程序的攻擊工具幾乎都是協議攻擊,而協議攻擊不需要手機、群控等設備資源,因此攻擊成本大大降低。幾種黑灰產實施自動化攻擊的常見方式,對比如下:
一旦脫離了設備的限制,即使是初級的黑灰產團伙,也可以非常輕易的實施規模化的攻擊。
04、獲利方式多種多樣,現金紅包最受黑灰產青睞
微信好友之間的傳播,是小程序最簡單也是最好的營銷裂變手段。為了刺激用戶更多轉發和分享自己的小程序,企業會給到用戶有足夠吸引力的各種獎勵方式,而這些往往也成為了黑灰產的獲利方式,主要的獲利方式有以下一些:
現金紅包:微信紅包融入了我們的生活,很多企業在小程序上也采用現金紅包的形式進行營銷獲客。由于可以通過微信支付快速變現,因此現金紅包成為了黑灰產最為青睞的獲利方式,黑產人員也最喜歡用微信提現記錄來炫耀自己的“戰績”:
雖然單個賬號獲取的現金金額往往并不高,但由于攻擊小程序可以輕易實現規模化,因此黑灰產獲得的總體收益會很高。
抽獎:雖然抽獎是概率事件,但由于黑灰產在“人頭”上擁有優勢,基本可以保證到穩賺不賠;而且有些抽獎的獎品本身就是現金紅包,甚至會有一些高價值的商品,比如iPhone、品牌運動鞋等,這些都會讓黑灰產趨之若鶩。
積分:做任務賺取積分,然后積分可以兌換獎勵。有些獎勵中會有現金紅包,或者容易變現的商品,比如充話費,因此也會吸引不少黑灰產。
商品砍價/優惠券:主要來自小程序上的眾多電商平臺,通過這兩種方式來營銷自己的商品。黑灰產會重點關注其中的優質或熱門商品,以及滿減額度高的優惠券和無門檻優惠券。
虛擬/實物商品:常用于營銷活動的虛擬商品比較容易出手,比如各大視頻網站的會員卡、電商平臺的購物卡、線下商品兌換券;實物商品雖然可以通過咸魚、轉轉等平臺出售,但變現周期長,以及收發囤貨的成本,黑灰產會相對謹慎,一般會選擇生活必需品(比如紙巾、食用油等)和網紅流行物品(比如爆款盲盒、星巴克杯子等)。
05、圍繞小程序的黑灰產已形成一個成熟的產業鏈
判斷一個產業鏈是否成熟,可以從兩方面來評估:
1、是否有穩定的從業人群;
2、是否形成了穩定的供給關系。
而圍繞小程序的黑灰產業鏈條中,賬號供應和自動化工具開發是其中比較關鍵的環節,目前都已經形成了比較穩定的從業人群和供給關系。
賬號供應:小程序的賬號資源,早期主要通過發卡平臺或Q群打廣告來出售,觸達少,數量和穩定性也無法保證;
而目前已經有了專門提供小程序授權登錄的黑灰產:微信授權平臺,一方面賬號資源得到了充分的保證,另一方面也更好的連接了上下游。根據我們的統計:
- 目前活躍的微信授權平臺已經超過10家;
- 頭部平臺可用于小程序登錄的微信賬號超百萬;
- 大多數平臺均支持API對接,可快速集成到自動化攻擊工具當中。
自動化工具開發:越來越多的黑灰產工具作者參與到小程序的攻擊工具開發當中,一些工具作者還會在程序界面上打廣告,承接小程序攻擊工具的定制開發:
根據我們的統計,過去1個月:
- 有超過90個工具作者發布過針對小程序的攻擊工具;
- 排名前10的工具作者發布都超過了10次;
- 排名第1的工具作者發布了57次,將近2次/天;
接下來的一個章節我們對產業鏈做進一步的分析,揭露更多的細節。
二、微信小程序黑灰產產業鏈分析
圍繞小程序的黑灰產業鏈,按照角色和分工的不同,也可以大致分為上游、中游和下游。上游供給資源,下游實施攻擊和變現,中游則連接上游和下游以及為攻擊提供輔助。如下所示:
部分角色是小程序黑灰產業鏈所特有的,我們重點講述。
01、產業鏈上游
號商
小程序的登錄必須通過微信賬號,因此小程序賬號資源本質上就是微信賬號。黑灰產出售的微信賬號主要有2類:
1、真人賬號:這類賬號大多來源于一些經濟不寬裕的人群,在經濟窘迫時將個人微信號出租或出售。由于是真人使用的賬號,因此這類賬號流入到黑灰產初期基本不會被微信限制,常被黑產用于一些暴利或非法行為,比如廣告引流、網絡賭博、網絡詐騙等。當然這類賬號的出售價格也非常高,1個賬號通常需要上百。
2、機器賬號:這類賬號主要來源于微信養號工作室。如今黑灰產也與時俱進,出現了專門提供養號服務的平臺。養號工作室通過調用平臺提供的接口,實現云端養號。比如某云端養號平臺就提供了非常豐富的養號接口:
工作室方面只需購買云端平臺的服務,無需投入設備,風控對抗也全由云端平臺來做。專業的事交給專業的人,分工更加細化。
無論是真人賬號還是機器賬號,后期由于違法違規行為被微信限制之后,仍然可以用于登錄小程序。而黑灰產市面上有大量的被限制的微信賬號,出現了專門收微信a16或者62數據的號商,授權登錄第3方,其中包括小程序、公眾號等:
a16、62數據是微信登陸后產生的身份憑證數據,有了a16或者62數據就可以實現免賬號密碼,免驗證登陸微信。
02、產業鏈中游
微信授權平臺
號商和下游直接對接是低效的,因此出現了連接號商和下游的平臺:微信授權平臺。理解微信授權平臺,我們首先要清楚微信授權登錄的原理。微信官方文檔給出了小程序登錄的流程:https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html,流程圖如下:
可以分為2步:
1、調用 wx.login() 獲取臨時登錄憑證code,并回傳到開發者服務器;
2、開發者服務器拿到code后,轉而向微信接口服務發起登錄請求,微信接口服務返回session_key、openid等重要數據給開發者服務器,據此完成登錄,并返回自定義登錄態。
微信授權平臺的作用在于第1步,黑灰產可以通過微信授權平臺獲取code,而無需調用wx.login() 。一方面針對小程序的攻擊完全脫離了小程序的運行環境,另一方面微信授權平臺儲備了大量的微信賬號,可以為攻擊提供了大量的賬號資源。絕大多數微信授權平臺都提供API接口,可方便集成到自動化攻擊工具中。如下是其中一個平臺的API接口說明:
可以看到除了code之外,綁定的手機號、昵稱、個性簽名等信息,也都可以獲取到。
目前活躍的微信授權平臺已經超過10家。這些平臺累計支持的App、小程序數量多達上萬個,但凡能給到黑灰產利潤空間的App、小程序等,基本都在支持列表中。
轉碼機器人
轉碼機器人也是小程序黑灰產的一個特有產物:對于攻擊者而言,需要指定受益者,比如攻擊助力邀請活動,需要在攻擊參數中指定邀請的發起人,這時就需要用到轉碼機器人。以某品牌汽車制造商的小程序拉新助力活動為例:
1、黑產收益賬號登錄小程序,將邀請鏈接發送給轉碼機器人。
2、轉碼機器人則可以自動提取出鏈接信息,主要是打開小程序后跳轉的頁面以及參數,其中就包含了邀請人的身份信息。
3、部分黑產還會通過真人作弊平臺(關于真人作弊平臺,可以閱讀永安在線之前發布的《真人作弊黑灰產研究報告》:https://zhuanlan.zhihu.com/p/160828150),邀請真人協助作弊。因此轉碼機器人還會將鏈接信息轉換為一個小程序碼,便于微信掃碼操作。
轉碼機器人一般是按次收費,也有一些免費的轉碼機器人,甚至一些黑灰產技術論壇還開源了代碼。我們這里簡單介紹一下利用微信PC客戶端實現的轉碼機器人,原理如下:
1、啟動PC微信,并注入消息攔截模塊到微信進程當中;
2、消息攔截模塊hook微信接收消息的關鍵函數;
3、判斷接收的消息類型,如果是小程序轉發消息,解析并提取出鏈接信息。
我們發送的文字、圖片、表情包、小程序等消息,在消息格式上是一致的:
不同類型的消息,其消息正文會不一樣。對于小程序而言,消息正文是一段XML格式的文本,其中標簽中包含了相關的信息,如下所示:
03、產業鏈下游
破解小程序
下游是攻擊的直接發起者,而對于專業的黑灰產而言,會開發工具實施自動化攻擊,以獲取更大的利益。其中第一步是破解小程序,搞清楚小程序的業務邏輯和核心算法。破解步驟如下:
1、提取小程序包:手機微信的小程序包位于:/data/data/com.tencent.mm/MicroMsg/{{用戶哈希值}}/appbrand/pkg目錄下,后綴為.wxapkg的文件;PC微信的小程序包則位于:{{我的文檔}}\WeChat Files\Applet\{{小程序AppID}}\{{小程序版本}}目錄下,名為__APP__.wxapkg的文件;
2、解包小程序包:小程序包的文件結構已經被研究清楚并公開,網上也有公開的開源項目和工具,可以從小程序包中解出源代碼文件;
3、分析代碼:將源代碼導入到微信開發者工具,方便閱讀和調試,同時結合動態抓包定位并分析關鍵代碼,比如業務接口請求的構造。
開發工具
完成小程序的破解后,工具開發者通常先手動測試完成攻擊流程,然后再編寫工具代碼實現自動化操作。開發者會在工具中接入多個微信授權平臺的API接口,同時也會接入接碼平臺、打碼平臺、代理IP平臺的API接口。這些都是可以復用的,對于不同的小程序,工具開發者需要修改的代碼并不多,因此開發一款新的小程序攻擊工具對于他們來說成本并不高。
工具開發完成后,開發者會通過一些渠道將其出售給實施攻擊的人。部分工具是公開出售的,通常會使用QQ群來保持聯系和交流,包括使用教程、工具更新通知、下載和購買地址等。其中購買地址一般會指向某個發卡平臺的店鋪,開發者通過出售卡密的方式來獲取收益,而卡密則根據工具的使用時長來定價:
有些工具開發者會通過發展代理的方式,來獲取更多的使用者從而擴大其收益;有些工具開發者自己也會發起攻擊,為了降低風險,他們會在一段時間之后將工具免費提供出來,借此達到“法不責眾”的效果。
三、微信小程序攻擊案例分析
了解完產業鏈情況,我們選取幾個典型的案例,讓大家對于小程序的黑灰產攻擊有一個更加直觀和現實的感受。
01、某金融服務平臺一元購活動被攻擊
某頭部金融服務平臺的小程序在8月20日-8月27日推出了“邀好友,千元好物一元購”的活動,可以邀請好友給自己助力砍價,商品價格最多可以砍到一元,這對于黑灰產來說具備了足夠的吸引力。在20日早上7點多,也就是活動開始后7個多小時,就有工具作者完成了自動化攻擊工具的開發,攻擊成功之后,也有黑灰產對收益進行炫耀:
邀請好友助力砍價可以通過小程序的分享轉發快速實現用戶裂變,因此是小程序上最為常用的營銷獲客方式之一,同時也是一個非常典型的小程序攻擊場景。我們以其中一款工具為例,來看看黑產是如何實施自動化攻擊的。首先從工具界面導入需要助力的邀請人列表:
然后通過微信授權平臺獲取助力賬號code,授權登錄小程序:
登錄成功后,攻擊助力接口,完成對黑產邀請者賬號的助力:
02、某生活服務平臺現金活動被攻擊
某生活服務平臺為了吸引用戶推出的現金活動,每周1個活動周期,在1個活動周期內,1個賬號可以通過簽到、邀請好友、下單等方式賺取現金,滿50可提現。前面提到現金活動可以通過微信支付快速變現,是黑灰產最為青睞的獲利方式,這個活動也不例外:
雖然每次賺取的現金并不多,但對于黑灰產來說,可以通過微信授權平臺獲取大量賬號,并配合自動化工具實施批量攻擊,最終的整體收益會非常可觀。
03、某品牌茶飲廠商搶購活動被攻擊
這是小程序上的一個限時搶購活動,推的是買1送1優惠,可以用1張卡券的價格購買2張卡券。由于該茶飲的卡券非常容易出手變現,因此被黑產盯上,活動期間出現了大量的羊毛黨交易信息:
同時也出現了自動化的攻擊工具,活動開始之前在工具界面上設置好攻擊的時間、次數以及延遲:
等活動時間一到,自動觸發訪問搶購接口:
四、微信小程序攻防難點和防護思路
01、攻防難點
隨著小程序的攻擊案例越來越多,小程序安全已經逐漸引起業務方和安全行業的重視。相比于App和Web應用,小程序帶來了一個新的攻防平面,其難點在于:已有的一些防護方案不能有效的運用到小程序上,導致達不到理想的防護效果。
設備指紋
設備信息是業務安全風控的重要輸入參數。設備指紋能否取得比較好的效果,取決于采集的信息是否可以形成該設備的唯一ID,以及可以判斷該設備是否存在風險。出于權限和隱私等安全方面的考慮,小程序可以采集到的設備信息并不多,能采集到設備信息,比如品牌型號、屏幕大小、分辨率、電量、網絡類型等,無法形成唯一性強穩定性好的設備ID,也無法借助這些信息來判斷設備是否存在風險。
同時,由于目前黑灰產攻擊小程序基本采用的都是協議攻擊,黑灰產可以在發起的業務請求中隨意偽造設備信息,這使得設備指紋在小程序防護上的效果微乎其微。
安全掃描
通過人工或自動化的方式對小程序前端和后端進行掃描,檢查是否存在 SQL注入、XSS跨站腳本、目錄遍歷、信息泄露等應用漏洞。然而當前黑灰產針對小程序的攻擊,幾乎都不是通過應用漏洞進行攻擊。黑灰產偽造業務請求發起的自動化攻擊,其產生的機器流量,沒有攜帶任何漏洞特征或惡意代碼,和正常的請求并無差異。
安全掃描可以提早發現小程序中的漏洞,避免遭受漏洞攻擊;但對于非漏洞的攻擊,則起不到任何防護作用。
安全加固
安全加固指的是對小程序的前端代碼進行一系列的混淆和變換,在執行邏輯不變的前提下,降低其可讀性,提高攻擊者分析前端代碼邏輯的難度,從而保護小程序的安全。常見的變換手段有:字符串加密、變量名混淆、插入垃圾代碼、調用等價變換、控制流平坦化等。
安全加固確實可以在一定程度上提高攻擊門檻,勸退菜鳥級黑灰產,但仍然難不倒技術實力強的黑灰產。而且小程序主體的代碼邏輯基本上不會發生大的變化,所以破解是一次性的,只要收益足夠大,破解所需要的時間成本對于黑灰產來說是可以接受的。
此外,安全加固必然會帶來一定程度上的性能損失和穩定性下降,也不方便調試,因此目前并沒有被廣泛使用。我們隨機選擇了30款小程序作為分析目標,對這些小程序進行反編譯后,發現沒有1款小程序對代碼做了混淆加固,情況不容樂觀。
接口保護
對于重要業務接口的訪問進行簽名校驗,是抵御機器流量的有效手段之一。最常見的方法是在接口請求參數或者請求頭中攜帶一個簽名signature(或者叫令牌token),簽名在小程序前端由具備一定強度的算法生成,小程序后端根據對應的算法校驗簽名的合法性,若校驗失敗則拒絕響應本次請求。對于小程序主要面臨的協議攻擊來說,確實可以提高攻擊門檻。
問題在于攻防的不對等。由于小程序代碼無法實時更新,簽名算法一旦被破解,需要等到小版本發布新的版本才能升級新的簽名算法。發布新版本很多時間需要服從產品計劃,而且需要經過完整的測試,這往往會給黑灰產留下足夠的攻擊時間,防護效果大大折扣。
02、防護思路
由于已有的這些防護方案,防護效果都比較有限,因此我們需要考慮小程序自身的特性,結合黑灰產攻擊情報和案例的分析,量身打造適用于小程序的安全防護。
重視情報的價值
“未知攻,焉知防”,無論哪種產品形態,情報對于安全攻防來說都是非常重要的。通過情報可以第一時間感知到是否存在針對己方小程序的攻擊以及攻擊規模,并從情報中提取出黑灰產所使用的技術和攻擊邏輯,進行針對性的反制。
這里舉一個實際的案例:去年某個出行企業在小程序上,以過關游戲的方式拉動用戶,并給予通關者較高的現金獎勵。正常情況下玩家在規定時間內無法通關,需要依靠邀請好友來延長游戲時間。
然而分析從永安在線業務情報平臺捕獲的攻擊工具得知,黑產只需偽造通關成功的接口請求,可以跳過游戲關卡直接拿到現金獎勵。根據這條情報,業務側很快進行了修復,從而避免了進一步的損失。
設計合理的規則
合理的規則,一方面需要對正常用戶有足夠的吸引力,確保業務正常開展;另一方面則需要提高黑灰產的攻擊成本,或者降低其收益。這里提供一些規則設計上的建議,供大家參考。
現金紅包:不建議秒提現,給審查留下時間;
優惠券:如果平臺上有一些低額易變現的商品(比如10元充話費),不建議無門檻優惠券;
抽獎:對于一些可能有問題的賬號(比如IP地址來源于IDC機房,缺乏埋點行為的上報等),降低其中獎概率。
助力邀請/砍價:最具小程序特色的營銷方式,由于往往需要邀請多個人,黑灰產在攻擊時會使用代理IP來規避IP地址單一的問題。不過無論是基站IP還是ADSL撥號IP,都存在好人和壞人混用的情況,從而產生一定比例的誤報。超過多少人都命中風險IP才進行判定,可以大幅度降低誤報率。比如助力需要邀請5個人,只有1個人命中風險IP時,誤報率為1%;而2個人同時命中風險IP,誤報率則降低為0.01%,而5個人同時命中風險IP,誤報率直接可以忽略不計。可以結合實際情況來設置人數的閾值。
基于小程序的動態保護
動態防護的思路在App和Web應用上已經得到了廣泛的運用,其核心思路是:跟黑灰產攻防對抗比較激烈的攻擊面,比如接口保護的簽名算法,其代碼不是固定的,而是動態變化的,這樣黑產很難找到攻擊錨點,無法實施穩定的攻擊。
對于小程序而言,這個方案的難點在于小程序的代碼只能在小程序發布新版時才能更新,無法動態下發,理論上只能執行固定的代碼。不過我們可以轉換一下思路,以簽名算法為例:
一個算法 = 若干個算法片段 + 固定的執行序列
我們將所有簽名算法的算法片段無序的放在小程序前端的代碼文件中,然后在后端動態下發執行序列,如下所示:
如果有100套算法,對應的就是100個執行序列,每次隨機下發其中1個執行序列,從而達到動態簽名的效果。不過由于所有的算法片段都暴露在本地,即使做了亂序和混淆加密,時間長了難以保證不被破解,因此仍然需要跟黑灰產保持住攻防對抗。而借助情報可以有效感知到黑灰產是否繞過了防護,從而針對性的對算法進行升級。
這個也是我們目前主推的小程序防護方案。
寫在最后
沒有一個技術方案可以一勞永逸的解決某類安全問題,小程序安全也是如此,需要有更多的人參與進來,大家集思廣益,加強交流與合作,共建安全。
我們發布這篇報告,也是希望拋磚引玉,能引起行業更多的思考和探討,護航小程序生態的健康發展。
