微信公眾號、小程序的普及，為我們的日常生活提供了很多便利，看病掛號、開卡繳費、在線辦理業(yè)務(wù)......，越來越多人習(xí)慣在微信公眾號和小程序上處理事務(wù)。作為新型資產(chǎn)的一種，社交媒體很容易成為忽視的項目。

今年我們在參與企業(yè)攻防演習(xí)中，碰到了企業(yè)對于互聯(lián)網(wǎng)資產(chǎn)梳理的需求，其實在以往與客戶的交流中，我們就發(fā)現(xiàn)很多企業(yè)忽略了社交媒體的重要性，容易給企業(yè)網(wǎng)絡(luò)安全留下了隱患，也容易給攻防演練行動留下缺口。以往年攻防演練行動攻擊為案例，攻擊者可通過收集到微信公眾號AppID，將AppID錄入數(shù)據(jù)泄露監(jiān)控模塊中，發(fā)現(xiàn)github有配置信息泄露，包含內(nèi)網(wǎng)信息，最終達到突破攻擊的效果。

公眾號，小程序容易忽視的安全點：

數(shù)據(jù)代碼泄露

現(xiàn)階段公眾號，小程序一般都由第三方外包商承擔。一些廠商由于安全意識不足，為方便修改、部署，會將代碼上傳到開源社區(qū)統(tǒng)一處理。在運營服務(wù)中，會發(fā)現(xiàn)大多數(shù)企業(yè)都出現(xiàn)類似問題，企業(yè)無法得知開發(fā)代碼是否被上傳到開源社區(qū)。其AppID,secret泄露會導(dǎo)致攻擊者控制此公眾號、小程序，可篡改信息，并獲取數(shù)據(jù)庫信息。甚至作為跳板，突破攻擊到達企業(yè)內(nèi)網(wǎng)。

數(shù)據(jù)無法統(tǒng)一管控

中大型企業(yè)會存在海量營業(yè)網(wǎng)點、分公司。每個區(qū)域會有對應(yīng)的公眾號、小程序。作為總部安全負責人，無法細致了解到每個網(wǎng)點的情況信息。網(wǎng)絡(luò)安全屬于短板效應(yīng)，如果有一處入口沒有管控起來，危險可知。

釣魚仿冒

越來越多人習(xí)慣在公眾號、小程序處理事務(wù)，了解公司動態(tài)資訊。眾多服務(wù)功能給手機用戶提供了很大的方便，但是此處已被灰黑產(chǎn)盯上，收購一些符合要求的服務(wù)號，高仿其他業(yè)務(wù)名字進行”釣魚”。這就需要企業(yè)定期梳理是否存在釣魚仿冒公眾號、小程序資產(chǎn)。

針對公眾號、小程序的資產(chǎn)泄露問題，聯(lián)軟的互聯(lián)網(wǎng)安全資產(chǎn)監(jiān)控平臺支持全面平臺自動化梳理企業(yè)公眾號，小程序資產(chǎn)。監(jiān)控其AppID，變更情況，后臺接口等信息。并與威脅情報聯(lián)動，將持續(xù)監(jiān)控是否需有代碼泄露，AppID密碼泄露等情況

在攻防演習(xí)中，互聯(lián)網(wǎng)資產(chǎn)梳理、暴露面收斂、風(fēng)險檢測與持續(xù)監(jiān)測等是參加演習(xí)的單位在前期必須做且要做好的工作。聯(lián)軟會全面助力企業(yè)網(wǎng)絡(luò)安全防護，幫助企業(yè)構(gòu)建和完善資產(chǎn)安全運營，做好每一次網(wǎng)絡(luò)防護。