金融小程式風險如何控制,WeTest小程式質量專項方案一步到位

騰訊WeTest發表於2022-01-13

導語

自2017年微信小程式推出以來,便憑藉其開放、便捷的產品特點實現了使用者的高速增長。伴隨著近年來金融業數字化轉型的推進與行動網路業務的興起,如今,小程式已成為銀行、保險、證券交易等金融場景服務使用者的重要載體之一。
小程式在金融領域的應用:
1,快捷便利,降低使用者辦理相關業務的門檻;
2,打通線上線下服務場景,構建場景閉環;
3,提升線下服務效率,線上助力新客獲取;
4,整合流量入口,構建金融生態體系。

由於金融類業務自身的高敏感性、交易性,與移動裝置的複雜性、安全風險等原因,使得行業與使用者對金融類移動產品提出了更高的質量與安全要求。騰訊WeTest基於多年小程式質量保障經驗,於近期全新推出了小程式質量專項方案,結合相容、伺服器效能、安全測試等服務,全面提升金融類產品穩定性與安全防護能力,助力金融行業數字化建設。

01

金融類小程式所面臨的風險

儘管微信小程式具備天然的安全防護能力,但是由於開發不當、缺乏深入測試與黑灰產攻擊等原因,小程式所面臨的風險因素也逐漸增多。同時,行業的敏感性和廣大的使用者群體也為金融類小程式帶來了更為嚴峻的行業挑戰。

效能質量問題:
金融行業需要面對龐大的使用者群體,其面臨的移動裝置型號和作業系統也是複雜繁多。在小程式使用過程中,一旦出現相容異常、伺服器未響應、載入卡頓等質量問題,將會直接影響使用者的留存和轉化。

安全風險:
未經保護的小程式極易成為不法分子的攻擊目標,黑產可以通過機器註冊、批量登入、虛假裝置等違規手段“薅羊毛”,使得金融客戶的營銷引流效果大打折扣,50%-80%的營銷資金可能會因此浪費。還有甚者通過逆向等方式竊取核心程式碼進行仿冒,並植入廣告外掛等惡意程式碼,導致山寨小程式大量出現,對品牌形象造成嚴重影響。

除上述風險之外,金融類小程式面臨的最大風險便是小程式與金融客戶資料互動過程中所涉及的大量使用者隱私資訊,企業內部資料等海量真實資料,如有不慎使用者隱私等核心資料被爬取並挪為他用,將會帶來經濟損失、輿情風險,甚至可能對企業形象造成難以挽回的影響。

02

騰訊WeTest小程式質量方案

騰訊WeTest安全服務團隊於去年對近十家金融類小程式進行安全診斷,結果發現這些小程式普遍存在程式碼可被逆向分析和破解利用的風險,部分還同時出現了加密key/token洩露風險以及使用者資訊保安問題。

針對金融行業所出現的問題,騰訊WeTest從行業需求出發,提供專家相容測試、伺服器效能測試、小程式安全等一站式質量專項方案,致力於為使用者提供小程式從開發到運維等全生命週期的品質保障服務。

小程式相容:
騰訊WeTest測試專家定製小程式相容測試服務,手工執行測試,嚴格遵照騰訊測試標準流程,覆蓋市場通用機型執行併發測試,並根據金融類小程式特點,覆蓋異常打斷,分享等典型場景,記錄JS Error、首屏載入等特定資料,還原真實使用者使用時可能發生的相容/效能問題。依據行業要求提升金融類小程式產品質量,保障業務系統的穩定執行。

小程式壓測:
小程式壓測能夠有效洞察壓力介面,提供百萬級別併發和分散式壓力源,支援構建單場景和混合場景壓測,協助評估金融系統可支援最高客流,分析系統中潛在的效能瓶頸場景,提供優化方案。

小程式安全:
整合小程式安全掃描、小程式安全滲透、小程式安全加固等服務,深度挖掘安全問題,覆蓋全面,安全架構能力效能表現突出。

自動化安全掃描 快速排查風險:
騰訊WeTest小程式安全掃描覆蓋前臺程式碼安全和API使用規範、業務GGI和WEB框架的風險測試,包括SQL隱碼攻擊、XSS跨站指令碼、目錄遍歷、資訊洩露等主流WEB攻擊方式。

滲透測試 提前披露安全風險:
騰訊WeTest提供專門針對小程式的滲透測試,在掌握微信小程式系統架構的基礎上,使用獨家自研測試攻擊,以模擬黑客攻擊的形式,滲透微信Native層及V8指令碼引擎,全面檢測、提前預支業務資料洩露、券幣盜刷、資產受損、資料篡改等各類安全風險。

程式碼安全加固 降低逆向風險:
騰訊WeTest小程式加固在不改變原始碼的情況下,針對小程式前端程式碼進行加密,只需將程式碼(路徑或檔案)傳輸給加密工具,即可實現字串加密、屬性加密、呼叫轉換、程式碼混淆等多項保護措施,提高攻擊者分析H5前端程式碼邏輯的難度。

END

結語
由於行業特殊性,銀行小程式的發展還有很長的路要走,尤其是全球金融業發展面臨經濟週期、行業週期和科技週期三個週期挑戰疊加的今天,使用者形式、使用習慣、服務場景都在發生著改變,小程式作為移動網際網路發展成熟階段出現的全新去中心化應用模式,為金融企業與使用者連線創造了更多可能。

騰訊WeTest作為行業領先的質量雲服務廠商,未來將持續深耕小程式服務場景,為企業使用者提供安全診斷、效能壓測、異常監控等多位一體的小程式質量服務體系,築牢小程式場景基礎設施底座,助力品牌流量建設與成長。

如果您有業務需求,歡迎前來諮詢

關於騰訊WeTest

騰訊WeTest是由騰訊官方推出的一站式品質開放平臺。十餘年品質管理經驗,致力於質量標準建設、產品質量提升。騰訊WeTest為移動開發者提供相容性測試、雲真機、效能測試、安全防護等優秀研發工具,為百餘行業提供解決方案,覆蓋產品在研發、運營各階段的測試需求,歷經千款產品磨礪。金牌專家團隊,通過5大維度,41項指標,360度保障您的產品質量。

相關文章