微信小程序安全检查表

一、基础合规性

检查项检查方式达标要求
1. 主体备案状态微信后台→设置→基本设置显示“已备案”且主体信息真实
2. 隐私政策公示检查小程序首页→用户协议入口有独立隐私政策页,含《个保法》要求的7大要素
3. 权限申请最小化测试功能触发权限申请仅申请功能必需权限(如导航功能才申请位置权限)
4. 服务类目合规微信后台→服务类目实际功能与申报类目匹配,特殊行业需上传资质

二、数据安全

检查项检查方式达标要求
5. 数据传输加密抓包检查API请求全链路HTTPS(TLS≥1.2),无HTTP明文传输
6. 本地存储安全反编译小程序检查wx.setStorage使用敏感数据存储必须用wx.setStorageSync加密
7. 日志脱敏处理查看后台日志文件身份证/手机号等敏感信息显示为138****1234格式
8. 第三方SDK安全检查package.json&微信开发工具依赖SDK为最新版,无已知漏洞(参考CNNVD)
9. 云环境隔离微信云开发→环境设置生产环境与测试环境分离,数据库读写权限分离

三、防御机制

检查项检查方式达标要求
10. 身份认证强度修改请求中的openid测试关键操作需二次验证(如支付密码+短信验证)
11. API接口防护使用BurpSuite重放请求接口含防重放签名(timestamp+nonce),有效期≤5分钟
12. 频次控制短时间密集调用API登录/支付等接口每秒请求≤3次,错误超限锁定账户
13. 越权漏洞检测修改URL参数访问他人订单返回“无权限”提示而非数据
14. 开放平台配置微信开放平台→IP白名单后端服务器IP全列入白名单

四、应急响应

检查项检查方式达标要求
15. 漏洞修复时效查看历史安全工单中高危漏洞72小时内修复
16. 热更新能力模拟紧急漏洞修复具备不提交微信审核的代码热更新方案
17. 监控告警检查微信运维中心开通恶意调用/流量突增告警,通知到责任人
18. 日志留存检查日志系统配置用户操作日志留存≥6个月

五、微信生态

检查项检查方式达标要求
19. 内容安全API检查后台接口调用记录UGC内容必须调用security.msgSecCheck接口
20. 防钓鱼措施测试外部H5跳转关键页面(如支付)禁用web-view外部跳转
21. 客服消息防护模拟发送诱导转账信息客服系统触发关键字自动冻结会话(如“转账”“红包”)
22. 订阅消息规范触发订阅消息弹窗非必需场景不得强制订阅(如阅读文章需订阅通知)

微信小程序现场检查记录表

检查对象____________________
版本号____.__.__
检查日期____年__月__日

一、基础合规性

编号检查项达标要求结果(✓/×/NA)备注
1.1主体备案状态微信后台显示“已备案”
1.2隐私政策公示含用户协议入口及7大要素
1.3权限最小化申请未强制获取非功能必需权限
1.4服务类目匹配实际功能特殊行业已上传资质证明

二、数据安全

编号检查项达标要求结果(✓/×/NA)备注
2.1全链路HTTPS传输无HTTP明文请求
2.2敏感数据加密存储使用wx.setStorageSync加密
2.3日志脱敏处理手机号/身份证显示为***
2.4第三方SDK无已知漏洞版本为最新安全版

三、防御机制

编号检查项达标要求结果(✓/×/NA)备注
3.1关键接口身份认证修改openid无法访问他人数据
3.2API防重放攻击请求含有效签名且有效期≤5min
3.3高频操作限流登录失败≥5次锁定账户
3.4IP白名单覆盖所有服务器开放平台配置完整

四、微信生态

编号检查项达标要求结果(✓/×/NA)备注
4.1UGC内容安全过滤调用msgSecCheck接口
4.2支付页禁用外部跳转web-view嵌入支付流程
4.3客服消息防诈骗触发“转账”等关键词自动冻结

检查结论

□ 通过 □ 限期整改(____日内) □ 严重违规
整改项追踪(编号:_____):

本文著作权由作者所有,微信小程序安全检查表 收录于 日有所思,商业授权请联系作者。

添加新评论

登录