重保季｜如何全方位保护小程序安全？这份方案一键解决！|ddos|waf|服务器|重保

近年来，对抗演练的强度和手段不断升级。小程序，这个在常规情况下很安全的地方，却可能成为重保的关键突破口……

阿然所在的公司今年要参与重保活动。

在几天时间里，作为安全专家的阿然把域名、服务器等公司网络资产仔细清点了一遍，并且分别制定了高效完善的安全策略。

忙活了一通后，他才放下心来，心想，“这下万无一失了”，于是泡了杯咖啡，开始畅想重保结束后升职加薪的美好生活~

几天后，重保开始了。

起初，拦截攻击的过程非常顺利，阿然公司遥遥领先。但这样的好日子并没有持续太久...

某天，系统突然发出警报，云服务器上的信息被全部窃取了！阿然崩溃地开始盘查，结果发现，攻击者居然通过小程序拿到了云服务器的密钥，整个防御体系面临的风险级别急剧升高！

阿然百思不得其解，小程序不是应该拥有和平台同样的安全防护性能吗？

其实，阿然的想法从一开始就错了~

和传统Web服务类似，从小程序到云服务器的信息传输过程走的是公网链路，通过DNS解析请求到WAF/CLB等网关设备，最终回源到小程序服务器。这个过程中并没有经过微信专有安全链路，因此在重保期间有可能受到DNS劫持、中间人攻击等多类型Web攻击，进一步导致服务端重要数据泄露。

在上面的案例中，阿然公司的小程序客户端和服务器之间的信息传输经过的也是公网链路，并且没有对数据进行任何加密处理。由于客户端和服务器平常传递的数据包中会带有相互识别身份的Access Key Id和 Secret Access Key，当数据包被攻击者拦截后，AK和SK便也落入了对方手中。攻击者就可以拿着这个密钥登录服务器，对阿然公司的所有数据“为所欲为”了！

其实，与阿然相似的疏漏和误解并不在少数。

目前，大多数策略的防御重点都聚焦在企业的Web应用、FTP应用、以及各种服务器上，但很少有企业意识到小程序安全防护的重要性！

虽然小程序大多由多层安全架构防护，它的原生安全能力就可以满足日常需求；但在重保期间，遇到无所不用其极的专业攻击者时，还是无法起到完美的防护作用。

相似的案例还有很多：小帅是某小程序的用户，之前在个人主页上传过自己的头像、昵称和其他个人信息。某天，小帅突然想看看自己的帅照，于是点击了自己的头像......

在日常情况下，小程序的原生安全能力完全能保障这个过程的安全性；但在重保期间，这个简单的动作最终却导致了大量的信息泄露……

这是因为：小帅之前上传头像时，客户端已经与云存储桶建立了连接，所以客户端本地也存储了AK/SK。因此，在小帅查看头像时，客户端与存储桶之间传输的信息中也会带有AK/SK。攻击者拦截了这个过程中的数据包，轻而易举便获得了AK/SK。接着，攻击者仿冒用户，用AK/SK登录云存储桶，获取了用户存储的所有个人信息。

除了由AK/SK泄露造成的信息泄露，公网链路的不安全性还可能导致小程序的信息传输面临各种各样的Web攻击，比如DDoS攻击、CC攻击等，简直防不胜防。因此，对小程序进行安全防护是重保期间势在必行的重要措施！

那究竟有什么办法，可以在常态化的重保期间，守护好小程序安全，避免他成为被攻击的重点对象呢？答案是“腾讯云WAF-小程序安全加速”解决方案。

小程序安全加速是腾讯云WAF与微信团队联合开发的云安全产品，它是提供了服务加速、服务高可用、Web攻击防护、DDoS防护、防薅防爬、恶意流量拦截等能力的新一代安全加速服务。

在使用腾讯云WAF-小程序安全加速之后，小程序的流量将会从微信安全网关就近接入，使用微信安全全球骨干网传输，通过DNS解析请求到WAF/CLB等网关设备，最终回源到小程序服务器。

在这整条链路上，腾讯云WAF-小程序安全加速加速能够实现包括客户端安全、传输安全、Web业务安全在内的一站式全链路安全。

1、客户端安全

使用微信私有协议加密数据；流量风控精准识别异常流量；原生抗DDoS能力防止针对客户端的恶意DDoS攻击。

2、传输安全

接入微信专有链路，实现全链路加密与加速；同时，保障传输过程免受劫持、重放、中间人攻击等不同形式的攻击，还能实现数据防泄漏。

3、Web业务安全

提供强大的Web攻击拦截能力，支持CC防护、BOT识别与API防护，全方位保证Web业务安全。

因此，在重保期间，腾讯云WAF-小程序安全加速能够为接入本解决方案的小程序提供全方位的安全保护，有机会达到微信同等级安全水平，让恶意攻击行为无所遁形！

具体而言，腾讯云WAF-小程序安全加速具备以下优势：

1、数据加密

采用微信团队的自研私有协议来加密信息，破解门槛和难度极高；同时二次封装加密数据和接口，保障用户重保期间全程无明文数据传输，在极大程度上降低业务数据暴露风险。

2、多重网络攻击防护能力

能够防护多种多样的网络攻击手段，包括400G+DDoS防护、CC防护、防DNS劫持、中间人攻击等等；同时，还能提供分布式安全防护能力，实现低成本应对DDoS攻击。因此，能够一站式解决重保安全防护问题。

3. 流量风控能力

能对账号身份及特征等多维数据进行智能模型分析，综合判断当前请求是否安全。同时，结合异常行为分析，针对异常用户、异常操作做请求拦截或验证校验，有效防止爬虫爬取关键数据、防止羊毛党抢走企业营销福利。

4. 接入简单

在公众号授权后台扫码，即可自动完成小程序接入，无需修改代码，快捷方便。且除了小程序之外，也支持移动端APP和网页端的安全防护，实现多端覆盖。

客户案例

茶百道，作为国内茶饮头部品牌，一年卖出近8亿杯，全国门店数超7000家。在2021年初，茶百道就推出微信小程序“茶百道点餐+”，布局私域营销体系。与此同时，围绕小程序的黑灰产活动也愈发活跃，网络攻击、刷流量等恶意攻击行为层出不穷。

但是！有腾讯云WAF-小程序安全加速解决方案在，这一切问题都将迎刃而解！2023年底，茶百道正式接入小程序安全加速解决方案，重拳出击网络黑灰产。

在茶百道“中国风味地图第一季”活动开启当天（2024年1月30日），大量黑灰产涌入，当日抢券流量一度高达16万QPS，其中通过WAF小程序识别出来的异常请求超10万QPS。腾讯云WAF-小程序安全加速加速解决方案迅速作出反应，通过我们先进的防御策略和技术手段，拦截识别出的异常请求，抵抗持续不断的网络攻击。

最终，在这次防护过程中，成功拦截了超过10万QPS的异常请求，以及超过4000万次的黑灰产攻击，拦截比例96%+。更为重要的是，我们对协议挂攻击实现了100%的狙击，清洗了80%异常行为流量，有效地确保了茶百道小程序的平稳运行，保障了用户的访问体验。