2

金融小程序风险如何控制,WeTest小程序质量专项方案一步到位

 2 years ago
source link: https://segmentfault.com/a/1190000041264877
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

金融小程序风险如何控制,WeTest小程序质量专项方案一步到位

自2017年微信小程序推出以来,便凭借其开放、便捷的产品特点实现了用户的高速增长。伴随着近年来金融业数字化转型的推进与移动网络业务的兴起,如今,小程序已成为银行、保险、证券交易等金融场景服务用户的重要载体之一。
小程序在金融领域的应用:
1,快捷便利,降低用户办理相关业务的门槛;
2,打通线上线下服务场景,构建场景闭环;
3,提升线下服务效率,线上助力新客获取;
4,整合流量入口,构建金融生态体系。

由于金融类业务自身的高敏感性、交易性,与移动设备的复杂性、安全风险等原因,使得行业与用户对金融类移动产品提出了更高的质量与安全要求。腾讯WeTest基于多年小程序质量保障经验,于近期全新推出了小程序质量专项方案,结合兼容、服务器性能、安全测试等服务,全面提升金融类产品稳定性与安全防护能力,助力金融行业数字化建设。

金融类小程序所面临的风险

尽管微信小程序具备天然的安全防护能力,但是由于开发不当、缺乏深入测试与黑灰产攻击等原因,小程序所面临的风险因素也逐渐增多。同时,行业的敏感性和广大的用户群体也为金融类小程序带来了更为严峻的行业挑战。

性能质量问题:
金融行业需要面对庞大的用户群体,其面临的移动设备型号和操作系统也是复杂繁多。在小程序使用过程中,一旦出现兼容异常、服务器未响应、加载卡顿等质量问题,将会直接影响用户的留存和转化。

安全风险:
未经保护的小程序极易成为不法分子的攻击目标,黑产可以通过机器注册、批量登录、虚假设备等违规手段“薅羊毛”,使得金融客户的营销引流效果大打折扣,50%-80%的营销资金可能会因此浪费。还有甚者通过逆向等方式窃取核心代码进行仿冒,并植入广告插件等恶意代码,导致山寨小程序大量出现,对品牌形象造成严重影响。

除上述风险之外,金融类小程序面临的最大风险便是小程序与金融客户数据交互过程中所涉及的大量用户隐私信息,企业内部数据等海量真实数据,如有不慎用户隐私等核心数据被爬取并挪为他用,将会带来经济损失、舆情风险,甚至可能对企业形象造成难以挽回的影响。

腾讯WeTest小程序质量方案

腾讯WeTest安全服务团队于去年对近十家金融类小程序进行安全诊断,结果发现这些小程序普遍存在代码可被逆向分析和破解利用的风险,部分还同时出现了加密key/token泄露风险以及用户信息安全问题。

针对金融行业所出现的问题,腾讯WeTest从行业需求出发,提供专家兼容测试、服务器性能测试、小程序安全等一站式质量专项方案,致力于为用户提供小程序从开发到运维等全生命周期的品质保障服务。

小程序兼容:
腾讯WeTest测试专家定制小程序兼容测试服务,手工执行测试,严格遵照腾讯测试标准流程,覆盖市场通用机型执行并发测试,并根据金融类小程序特点,覆盖异常打断,分享等典型场景,记录JS Error、首屏加载等特定数据,还原真实用户使用时可能发生的兼容/性能问题。依据行业要求提升金融类小程序产品质量,保障业务系统的稳定运行。

小程序压测:
小程序压测能够有效洞察压力接口,提供百万级别并发和分布式压力源,支持构建单场景和混合场景压测,协助评估金融系统可支持最高客流,分析系统中潜在的性能瓶颈场景,提供优化方案。

小程序安全:
整合小程序安全扫描、小程序安全渗透、小程序安全加固等服务,深度挖掘安全问题,覆盖全面,安全架构能力性能表现突出。

自动化安全扫描 快速排查风险:
腾讯WeTest小程序安全扫描覆盖前台代码安全和API使用规范、业务GGI和WEB框架的风险测试,包括SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流WEB攻击方式。

渗透测试 提前披露安全风险:
腾讯WeTest提供专门针对小程序的渗透测试,在掌握微信小程序系统架构的基础上,使用独家自研测试攻击,以模拟黑客攻击的形式,渗透微信Native层及V8脚本引擎,全面检测、提前预支业务数据泄露、券币盗刷、资产受损、数据篡改等各类安全风险。

代码安全加固 降低逆向风险:
腾讯WeTest小程序加固在不改变源码的情况下,针对小程序前端代码进行加密,只需将代码(路径或文件)传输给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析H5前端代码逻辑的难度。

结语
由于行业特殊性,银行小程序的发展还有很长的路要走,尤其是全球金融业发展面临经济周期、行业周期和科技周期三个周期挑战叠加的今天,用户形式、使用习惯、服务场景都在发生着改变,小程序作为移动互联网发展成熟阶段出现的全新去中心化应用模式,为金融企业与用户连接创造了更多可能。

腾讯WeTest作为行业领先的质量云服务厂商,未来将持续深耕小程序服务场景,为企业用户提供安全诊断、性能压测、异常监控等多位一体的小程序质量服务体系,筑牢小程序场景基础设施底座,助力品牌流量建设与成长。

如果您有业务需求,欢迎前来咨询

关于腾讯WeTest

腾讯WeTest是由腾讯官方推出的一站式品质开放平台。十余年品质管理经验,致力于质量标准建设、产品质量提升。腾讯WeTest为移动开发者提供兼容性测试、云真机、性能测试、安全防护等优秀研发工具,为百余行业提供解决方案,覆盖产品在研发、运营各阶段的测试需求,历经千款产品磨砺。金牌专家团队,通过5大维度,41项指标,360度保障您的产品质量。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK