文学起点网
当前位置: 首页 文学百科

智能小程序服务有哪些(羊了个羊服务器又双叒叕宕机了)

时间:2023-07-16 作者: 小编 阅读量: 1 栏目名: 文学百科

近日,一款号称“通关率不到0.1%”的堆叠式消除游戏“羊了个羊”火遍全网,在极短时间内俨然有了一副“全民级游戏”的架势。据羊了个羊官方微博,由于该游戏过于火爆,《羊了个羊》多次出现宕机的情况,服务器2天崩了3次。吴剑刚表示,协议攻击是针对小程序的最主要的攻击形式,这种攻击不需要真实的手机、群控设备等客户端,能够大幅度降低攻击的成本。同时瑞数信息还将会对内容的完整性进行校验,防止内容遭到攻击者篡改。

近日,一款号称“通关率不到0.1%”的堆叠式消除游戏“羊了个羊”火遍全网,在极短时间内俨然有了一副“全民级游戏”的架势。它在各大社交媒体上取得了惊人的热度。

据羊了个羊官方微博,由于该游戏过于火爆,《羊了个羊》多次出现宕机的情况,服务器2天崩了3次。其创始团队在面对记者采访时表示,游戏大火之后最忙的事情就是应对持续的DDoS攻击,解决服务器反复出现的无法登录的异常情况。

众所周知,作为微信生态中的应用模块,微信小程序以其在微信内即可被便捷地获取和传播的特点,无需安装应用的便捷使用体验,逐渐深入到生活和商业中的方方面面。

那作为依附在微信之下的一种创新应用形态,为什么小程序依然会遭受网络攻击呢?微信小程序主要面临着哪些方面的安全挑战?相对于传统的Web应用和移动应用来看,小程序的安全防护又有哪些技术层面的安全侧重点?围绕这些问题,我们向业内一家专业的应用安全厂商瑞数信息进行了请教。

针对业务和敏感数据的攻击 已成为小程序面对的主要风险

瑞数信息技术总监吴剑刚告诉我们,事实上大众存在一个对微信小程序的理解误区,小程序看似是在微信中打开,但实则与微信并不存在紧密的耦合关系,微信只是为小程序开发者们提供了一个快速连接用户的入口。尽管小程序在微信体内运行,由微信提供了其运行环境和认证方面的安全保护,但业务逻辑风险、信息泄露,以及小程序自身安全性方面仍然存在问题。

“从防护的角度来看,一次合法的用户访问过程中,用户在通过手机终端向微信小程序提交访问请求后,会由微信来验证此次访问的合法性并向用户下发一个App ID,在这一环节之后用户的所有访问行为都是和小程序服务器之间的直接交互,因此,除非小程序服务器是部署在腾讯云上,否则腾讯云的防火墙、抗DDoS等安全能力是很难赋能给小程序开发者的。”

据他介绍,小程序作为一个轻量级的应用,它具备着开发成本低、使用便捷等多方面的特点,但从技术的角度看,小程序本身是一个较为简单的应用形式,开发者主要通过JavaScript 来开发业务逻辑以及调用小程序的API来完成业务需求。

小程序的JavaScript架构使得它对于网页的交互和访问都是通过调用API的接口来实现的,因此攻击者往往也会通过模拟获取App ID的方式绕开腾讯的安全校验环节,跳过通过手机访问小程序的过程,通过协议直接对小程序的API接口发起批量请求和攻击。

吴剑刚表示,协议攻击是针对小程序的最主要的攻击形式,这种攻击不需要真实的手机、群控设备等客户端,能够大幅度降低攻击的成本。同时,脱离了设备的限制后,攻击的门槛也大幅的降低,一些初级的黑灰产从业者也能够非常轻易地实施规模化攻击,导致针对小程序的攻击剧增。

在他看来,小程序面临的安全风险主要集中在业务安全和数据安全两个方面。

在业务安全层面,如应用层的DDoS攻击、刷量、薅羊毛、虚假砍价助力等都是常见的黑灰产的攻击方式,黑灰产会通过批量请求的方式进行虚假的点击和注册,来从事营销欺诈活动;在数据安全层面,攻击者则会利用小程序自身的业务逻辑缺陷,针对小程序进行越权访问攻击,通过不安全的API接口批量获取敏感的用户数据和交易数据,进而诱发更严重的数据泄露或商业信息泄露的风险。

吴剑刚告诉我们,传统的web网站应用和移动端应用中都会采用设备指纹技术来进行精准的标识,在设备指纹技术面前,尽管攻击者会使用多源低频的攻击手法,不断地变换IP地址发去访问请求,但只要设备指纹不被剥离隐藏,防御方就能够溯源到真实的攻击者IP进行封禁。

但在小程序中,由于权限的原因,小程序可采集的设备信息少到无法形成唯一的设备指纹,导致这一高效的防御技术在小程序中毫无用武之地。再有,针对小程序的攻击几乎都是协议攻击,导致设备指纹在小程序防护上的效果微乎其微。从小程序自身来说,因为黑灰产针对小程序的攻击大多是在业务层面,传统的安全防护技术如漏洞扫描、安全加固等效果也极为有限。

另外,相较于移动端应用,小程序还存在代码逻辑简单、代码无法实时更新、安全加固算法和签名校验算法薄弱等特点,一旦攻击者利用逆向技术破解,便更能够在短时间内肆意妄为。

他谈到,《羊了个羊》小游戏遭到的DDoS攻击也是业务攻击中一种形式,攻击者主要是通过模拟正常请求的方式高频的访问其服务器,最终造成服务器资源耗尽业务不可用的后果。“这种访问请求并不存在恶意的特征,依靠传统的漏洞扫描和安全加固显然是无法起到防护效果的。”

小程序安全防护难点重重 如何应对才是良策?

据吴剑刚介绍,针对当前小程序面临复杂的安全挑战,安全行业内也提出了不同路径的解决方案。针对小程序JavaScript架构特性,业内的传统做法是帮助开发者对JavaScript进行安全加固,通过JS混淆技术去替换JavaScript代码中的一些关键函数和关键的业务逻辑,利用加密技术在攻击者对小程序代码逆向分析这一环节上接入安全防护措施,让攻击者难以对小程序代码进行逆向。

他谈道:“瑞数信息认为,安全是攻防双方的博弈,绝对的安全是不存在的,这就导致无论安全厂商在应用外层怎么加壳,攻击者仍然会想方设法地突破进来。”

因此,有别于传统安全加固厂商的做法,作为业内主流的应用安全厂商,瑞数信息的关注点在于“让攻击者逆向之后无功而返”,并提出了以“动态安全技术”为核心的小程序动态安全防护解决方案。

具体而言,瑞数信息主要通过三个维度的安全性校验,进而实现对企业小程序的安全防护:

第一个维度是进行客户端的真实性校验。在小程序用户发来访问请求时,瑞数信息的动态应用保护系统首先会协助小程序的运营团队去校验发起访问请求的客户端所在的微信环境是否涉及伪造,同时还会以SDK的形式去获取用户的App ID,并与用户提交的ID进行比对,以此来保证客户端的合法性和真实性;

第二个维度是针对自动化工具的校验。在抵御Bot自动化攻击方面,瑞数信息一直走在行业的前列。借助在人机识别技术、动态令牌技术以及动态验证技术方面的优势,瑞数信息动态应用保护系统会能够高效地发现工具性行为,将由工具发起的请求予以阻断。“微信小程序是一个以To C业务主导的场景,微信小程序端的每一次点击行为都应该由用户个人来完成,因此,工具性的访问行为注定是非法的,此类行为都会被直接拦截掉。”

第三个维度是围绕内容展开校验。针对小程序API接口容易出现的敏感数据泄露风险,瑞数信息主要通过动态算法对提交内容和请求内容进行双向混淆,将小程序提交的数据进行动态混淆成为一次性密文,极大地提高了非法访问行为的攻击成本和门槛。同时瑞数信息还将会对内容的完整性进行校验,防止内容遭到攻击者篡改。

“以《羊了个羊》的案例来看,攻击者显然是在应用层发起了大量的DDoS攻击,以自动化工具批量请求的方式集中访问应用服务器,导致了服务器的过载。如果处于瑞数信息动态应用保护系统的保护下,平台就能够通过人机识别技术,把所有的工具性访问行为识别出来并拦截掉,保证此类游戏小程序应用的业务稳定性”,吴剑刚分析称。

安全能力薄弱的小程序开发团队 应该从哪些方面着手规避安全风险?

9月15日,一张“流量主数据日报”截图在网上流传,图片显示,仅仅半天《羊了个羊》的收入就达到468万元,月收入更是高达2564万元。但就是这样一款一夜爆火的应用,其游戏的开发者曾对记者透露,整个开发团队只有3人,这一游戏应用的开发时间也仅有3个月左右。

那么,针对此类安全能力较为薄弱的小型应用开发团队,从整个小程序应用的开发到上线过程中,应该从哪些方面着手规避安全风险呢?在采访最后,我们也邀请瑞数信息的安全专家分享了一些安全建议。

吴剑刚表示,无论是何种规模的应用开发团队,都应该提高对应用安全的重视程度,最大程度地降低业务层面潜在的安全隐患。对小型开发团队而言,首先应该注意避免使用第三方开发工具,尽量选择微信官方提供的安全开发工具保障安全性。

同时开发者还应该采取一些必要的安全措施对代码采取必要的安全保护措施,包括将AppSecret在生成后需要后台应用保存维护,后台留存安全性需后台应用考虑,在获取客户敏感信息时注意加密传输、以白名单机制来限制传输通道内的互相访问等等。

他建议,尤其在自身安全能力不足的情况下,小程序的开发团队应该向第三方安全团队寻求合作,使用带有小程序安全加固、自动化Bot攻击防护类安全功能的产品来应对安全风险,尽早将黑灰产攻击掐灭于萌芽之中。

#网络安全##羊了个羊#

    推荐阅读
  • 苏州旅游攻略景点必去(苏州旅游必去景点有哪些)

    位于苏州市东北街一百七十八号,始建于明朝正德年间。虎丘是AAAAA级景区及全国文明单位,首批十佳文明风景旅游区示范点。中午,周庄最为欢闹,游人穿梭熙熙攘攘,船儿来回摇摇荡荡,各地的游客与热情的商铺融为一体,热闹非凡,安静的古镇着实多了些欢闹的气息。狮子林为苏州四大名园之一,位于苏州市市城东北园林路。

  • 买的玉米种子是瘪的(去年买的玉米种子剩了很多)

    去年买的陈玉米种子建议不要用针对去年的陈玉米种子,大多情况下不建议再次使用,会影响到玉米后期的生长和产量情况。陈年的因为保管的问题,可能会出现很多因素影响玉米的出苗率或者后期的生长。陈玉米种子隔了一年后再种植,种子自身水分含量降低,水分降低严重的情况下,影响播种的效率和玉米的后期生长,由于活性降低,即使能出芽,也不一定能出苗。

  • 173.2亿!国庆消费火爆 国庆消费市场

    今年国庆、重阳两节叠加,全省消费市场呈现平衡较快增长态势,服装、家电、汽车等商品消费亮点突出,大众餐饮、旅行休闲、文体娱乐等主要服务消费备受青睐。根据商务部业务统一平台生存必需品监测系统显示,国庆黄金周期间,全省生存必需品市场供应充沛,价格总体平衡。除了买买买,国庆还是婚庆、团圆、会友高峰,各地亲友聚餐、婚寿宴等大众化餐饮生意兴隆。

  • 吴承恩是怎么写出的西游记(吴承恩怎么写出的西游记)

    吴承恩怎么写出的西游记诸葛长青:吴承恩写西游记诸葛长青:吴承恩怎么写出的《西游记》西游记,广泛流传西游记,作者吴承恩西游记,包含了儒释道大智慧那么,吴承恩是怎么写出的《西游记》呢?诸葛长青把自己对吴承恩写《西游记》,研究成。

  • 李逵扮演者(大家一起来看看吧)

    我们一起去了解并探讨一下这个问题吧!李逵扮演者赵小锐的李逵应该算是很多人印象当中的经典所在了,他的李逵也是很粗犷,但是这种粗犷当中却带着细腻,也是因为这个角色,他开始受到了不少的观众的关注和喜爱。其实之前的他也有出演过一些电视剧的,但是可惜的是一直都没能够真正的红起来,是李逵这个角色,让他一夜成名爆火了。

  • 汽车空间大小怎么看轴距(什么因素会影响车内空间)

    大众速腾,长度4655mm,轴距2651mm。看外观就明白了,因为宝马320i是后驱车,发动机采用纵置布局;而大众速腾是前驱车,发动机采用横置布局。而且由于发动机纵置,后驱设计,对于车内空间侵占较为严重,所以宝马320的长轴距实际上对于空间的帮助是“虚高”的。前面我们就提到了,宝马3系采用了后驱,大众速腾采用了前驱。回到我们的主题,通常来说,麦弗逊与扭力梁对于车辆空间的侵占是最小的,而多连杆和双叉臂对于车辆空间侵占是要更大的。

  • 湖南省医保局2015年工作思路与安排 湖南省医疗保障局领导班子组成人员

    督促指导各统筹地区核实提高缴费基数,强化保险费足额征收。继续加强工伤认定参与,把好工伤入口关。认真核实、积极处理群众举报问题,始终保持高压态势。加强生育医疗服务管理,规范生育津贴发放。二是启动实施工伤保险信息系统改造升级,改进工伤职工异地就医联网结算,方便工伤职工救治。三是加强财务、业务数据清理,提高数据质量;通报全省“三险”基金运行分析,指导市州加强基金运行风险管控。

  • 民国最渣四大渣男(民国著名4大渣男)

    当时很多文人在接受自由恋爱的思想时,家中已经有了父母为之安排的妻子。郁达夫一生有过三位妻子,一位同居情人。郁达夫后来还是和王映霞离婚,1940年在新加坡认识了比他小20岁的播音员李莜英,两人很快就同居了。第二任妻子佐藤富子,是个日本女人,为了和郭沫若在一起,不仅改名为“郭安娜”,还和父母断绝了关系。1937年,郭沫若抛弃妻子回国,和女明星于立群同居,两人于2年后再重庆结婚。

  • 电脑怎么连打印机教程(教会你快速学会电脑如何连接打印机的安装使用方法)

    最近很多网友都在私信给小编,小编也无法一一回复,有些问题也无法简约介绍,所以只能在头条文章内与大家共享。

  • 爱吃鸡蛋的注意了这3种鸡蛋不能买(这些鸡蛋没你想的那么好)

    营养均衡的孩子没必要补这种元素;真正缺乏硒,靠富硒蛋补,根本起不了多大作用。这类蛋再好,也别给孩子吃那就是全生或半熟的蛋,比如溏心蛋。一般溏心蛋的加热时间短,不能完全杀死细菌,生蛋液根本没有处理细菌,对于抵抗力低、易感染的宝宝来说,非常容易被细菌感染。