没有合适的资源?快使用搜索试试~ 我知道了~
基于微信小程序生态体系的黑灰产研究报告.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 175 浏览量
2022-11-13
13:43:51
上传
评论
收藏 3.82MB PDF 举报
温馨提示
试读
27页
基于微信小程序生态体系的黑灰产研究报告.pdf
资源推荐
资源详情
资源评论
基于微信小程序生态体系的
黑灰产研究报告
前言
微信小程序,自 2017 年上线至今,发展迅猛。到 2020 年,微信小程序日活破四亿,
MAU 为 8.3 亿,微信小程序的交易规模更是突破 2 万亿,形成了丰富且庞大的商业生态
体系。小程序作为一种轻量应用,开发简洁,成本低,迭代快,使用便捷,但安全能力建
设却没有及时跟上。因此,基于庞大商业生态的转移,以及相对薄弱的安全防护,使得围
绕小程序的黑灰产活动越来越活跃,各种薅羊毛、刷流量的营销欺诈事件层出不穷,企业
线上营销活动蒙受巨大损失。
本报告基于永安在线·鬼谷实验室对微信小程序黑灰产的长期监控和研究,从以下几个方面
来剖析基于微信小程序生态的黑灰产活动,并提出防护思路,期望以专业、全面的视角帮
助企业认知产业、加强防御、避免损失。
媒体合作方:FreeBuf
FreeBuf.COM 是斗象科技旗下国内领先的网络安全行业门户,每日发布专 业的安全资
讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络
安全网站与社区。
目 录
一、微信小程序黑灰产活动现状
.....................................................................................
1
1.1、针对小程序的攻击快速增长,攻击以营销作弊为主
....................................
1
1.2、传统行业线上业务成为攻击重灾区,攻击遍布各行各业
............................
2
1.3、小程序攻击成本低,攻击极易规模化
............................................................
4
1.4、获利方式多种多样,现金红包最受黑灰产青睐
............................................
6
1.5、围绕小程序的黑灰产已经形成了一个成熟的产业链
....................................
7
二、小程序黑灰产业链分析
.............................................................................................
9
2.1、产业链上游
........................................................................................................
9
2.2、产业链中游
......................................................................................................
11
2.3、产业链下游
......................................................................................................
14
三、小程序攻击案例分析
...............................................................................................
16
3.1、某金融服务平台一元购活动被攻击
..............................................................
16
3.2、某生活服务平台现金活动被攻击
..................................................................
17
3.3、某品牌茶饮厂商抢购活动被攻击
..................................................................
18
四、小程序攻防难点和防护思路
...................................................................................
20
4.1、小程序的攻防难点
..........................................................................................
20
4.2、小程序的防护思路
..........................................................................................
22
1
一、微信小程序黑灰产活动现状
1.1、针对小程序的攻击快速增长,攻击以营销作弊为主
随着微信小程序自身的快速增长,以及依附于小程序的黑灰产业链的成熟,针对小程序的
攻击也呈现出快速增长的趋势。基于永安在线业务安全情报平台捕获的黑灰产工具数据,
我们统计了从 2020 年 1 月至今小程序自动化攻击工具的数量走势,如下所示:
大量自动化攻击工具的出现,一方面说明小程序给黑灰产带来了足够大的利益,使得专业
的黑灰产团伙愿意投入资源和技术;另一方面也说明了目前小程序的安全未能有效阻挡或
限制黑灰产,从而导致黑灰产攻击的活跃。
当前的攻击目标以企业在小程序上开展的营销活动为主,通过虚假注册、虚假邀请、黄牛
2
抢购等方式进行作弊,造成营销费用损失的同时,企业业务也没有得到健康增长。从长远
来看,自动化攻击(也称 BOT 攻击)还会带来了更多的安全风险,包括恶意爬取企业数
据/用户数据、刷接口、CC 攻击导致服务不可用等,而大量垃圾账号的涌入,对平台的生
态也会造成巨大的破坏,包括传播网络色情、网络赌博、网络诈骗等违法行为,网络水军
对舆论的操控,发布虚假的广告宣传等。
1.2、传统行业线上业务成为攻击重灾区,攻击遍布各行各业
依托于微信,小程序在便捷性、稳定性、用户触达等方面具备天然的优势,这使得小程序
成为了众多传统行业将业务从线下拓展到线上的首选,并发挥出了巨大的作用。另一方
面,这些企业相对缺乏黑灰产的了解和攻防对抗的经验,因此在享受小程序带来的红利同
时,也成为了黑灰产攻击的重点目标。基于永安在线业务安全情报平台的数据,我们对被
攻击的小程序从行业上进行了划分,并统计了攻击占比,如下所示:
3
可以看到攻击遍布了跟我们生活息息相关的各行各业,我们选择一些行业做简要的盘点。
食品餐饮:“民以食为天”,传统的食品餐饮行业,以酒水、饮料、茶点、零食等为代
表,借助小程序从线下拓展到线上,为客户提供更便利更优质的服务,但同时也被黑灰产
盯上,成为了被黑灰产攻击最多的行业。针对食品餐饮行业小程序的攻击主要有免单、抢
券、秒杀抢购等。
电商购物:电商购物一直是黑灰产攻击的重点行业。除了头部的互联网电商平台,在小程
序生态下还涌现出了一些传统企业自建的电商平台,这些平台往往会通过拼团、砍价、积
分换购等业务模式来进行社交营销和消费,然而这种业务模式已经被黑灰产熟悉并利用,
商家的让利往往被黑灰产攫取了大头。
生活服务/出行住宿:互联网服务已经覆盖了我们生活和出行的方方面面,小到外卖、快
递、打车、住店,大到婚姻、教育、医疗、养老等。这里面既有大大小小的互联网公司,
也有数字化转型的非互企业,还有政府为了提高居民质量或吸引游客而开发的线上服务。
在普通民众生活获得便利的同时,黑灰产也从中获取了利益。
剩余26页未读,继续阅读
资源评论
每天读点书学堂
- 粉丝: 132
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功