小程序风险检测方法和装置制造方法及图纸

本说明书实施例提供了一种小程序风险检测方法和装置。根据该实施例的方法，首先，在小程序向外部小程序服务端发送网络请求之前，由客户端对网络请求携带的请求数据中是否包括隐私数据进行识别，在请求数据中包括隐私数据时，生成识别结果，然后将识别结果发送给外部服务器，最后根据服务器返回的风险确认结果对网络请求进行处理。本申请能够提高风险检测的安全性。安全性。安全性。

【技术实现步骤摘要】
小程序风险检测方法和装置
[0001]本申请是分案申请，原申请的申请号为202110323887.8，申请日为2021年3月26日，专利技术名称为“小程序风险检测方法和装置”。


[0002]本说明书一个或多个实施例涉及计算机
，尤其涉及小程序风险检测方法和装置。

技术介绍

[0003]小程序是一种不需要下载安装即可使用的应用，一般需要搭载在宿主应用程序中运行，宿主应用程序为小程序提供可以实现各类业务功能的业务接口。小程序在调用这些业务接口时，可以获取到用户的隐私数据。如果小程序通过网络接口与小程序小程序服务端之间进行数据通信的过程中，将用户隐私数据发送给小程序小程序服务端，就会造成用户隐私数据的泄露风险。
[0004]现有技术中，通过对小程序的静态代码进行安全扫描，来判定小程序是否存在泄露用户隐私数据的风险。此种方法可靠性较低。基于此，需要提供一种更可靠的小程序风险检测方法。

技术实现思路

[0005]本说明书一个或多个实施例描述了小程序风险检测方法和装置，以提高可靠性。
[0006]根据第一方面，提供了一种小程序风险检测方法，应用于客户端，该方法包括：预先用Hook方式或静态代码替换方式，对宿主应用程序提供的外部网络接口进行切面，当小程序调用该外部网络接口向外部小程序服务端发送网络请求时，将该小程序调用该外部网络接口所对应的执行逻辑路由到预置在宿主应用程序中的安全切面模块；
[0007]所述宿主应用程序中的安全切面模块接收小程序向外部小程序服务端发送的网络请求；
[0008]所述宿主应用程序中的安全切面模块识别所述网络请求携带的请求数据中是否包括隐私数据；
[0009]在所述请求数据中包括隐私数据时，所述宿主应用程序中的安全切面模块生成识别结果；
[0010]所述宿主应用程序中的安全切面模块将所述识别结果发送给外部服务器，以使所述服务器根据所述识别结果对所述网络请求进行风险确认；
[0011]所述宿主应用程序中的安全切面模块接收所述服务器返回的风险确认结果，并根据所述风险确认结果对所述网络请求进行处理；
[0012]其中，所述识别所述网络请求携带的请求数据中是否包括隐私数据，包括：
[0013]识别所述网络请求携带的请求数据是否满足预先设置的字符串规则，如果满足，则确定所述数据请求中包括隐私数据；否则，确定所述数据请求中不包括隐私数据；
[0014]其中，所述字符串规则包括：字符串匹配逻辑和/或正则表达式；
[0015]当所述字符串规则包括字符串匹配逻辑时，如果所述请求数据与该字符串规则中包括的字符串相同，则确定所述请求数据中包括隐私数据；
[0016]当所述字符串规则包括正则表达式时，该正则表达式规定字符串格式，如果所述请求数据符合该字符串格式，则确定所述请求数据中包括隐私数据。
[0017]在所述识别所述网络请求携带的请求数据中是否包括隐私数据之前，进一步包括：
[0018]利用数据状态机解释器对所述网络请求携带的请求数据进行解释，将解释结果确定为所述网络请求携带的请求数据，并执行所述识别所述网络请求携带的请求数据中是否包括隐私数据。
[0019]其中，所述生成识别结果，包括：
[0020]获取下述至少一种信息：所述隐私数据的数据类型、所述小程序的身份信息、宿主应用程序的身份信息、客户端的身份信息以及所述网络请求中携带的所述小程序服务端的地址信息；其中，所述宿主应用程序为所述小程序依赖运行的应用程序；
[0021]将获取的上述至少一种信息确定为所述识别结果。
[0022]其中，所述根据所述风险确认结果对所述网络请求进行处理，包括：
[0023]在所述风险确认结果为存在风险时，对所述网络请求不进行处理；
[0024]在所述风险确认结果为不存在风险时，根据所述网络请求中携带的所述小程序服务端的地址信息，通过预置的外部网络接口将所述网络请求发送给所述小程序服务端。
[0025]根据第二方面，提供了小程序风险检测方法，应用于服务器，包括：
[0026]获取客户端发送的识别结果；所述识别结果用于表征小程序向外部小程序服务端发送的网络请求携带的请求数据中包括隐私数据；
[0027]根据所述识别结果对所述网络请求进行风险确认；
[0028]将风险确认结果发送给所述客户端，以使所述客户端根据所述风险确认结果对所述网络请求进行处理。
[0029]其中，
[0030]所述识别结果包括：隐私数据的数据类型和所述小程序的身份信息；
[0031]所述根据所述识别结果对所述网络请求进行风险确认，包括：
[0032]根据所述识别结果中包括的所述小程序的身份信息，确定预先对该小程序设置的需要进行拦截的数据类型；
[0033]根据所述识别结果中包括的隐私数据的数据类型，确定该数据类型是否为对该小程序设置的需要进行拦截的数据类型，如果是，则确认所述网络请求存在风险，否则，确认所述网络请求不存在风险。
[0034]其中，
[0035]所述识别结果包括：所述隐私数据的数据类型、所述小程序的身份信息、所述宿主应用程序的身份信息、客户端的身份信息以及所述网络请求中携带的所述小程序服务端的地址信息；所述宿主应用程序为所述小程序依赖运行的应用程序；
[0036]所述根据所述识别结果对所述网络请求进行风险确认，包括：
[0037]根据所述识别结果中包括的所述隐私数据的数据类型、所述小程序的身份信息、
所述宿主应用程序的身份信息、客户端的身份信息以及所述网络请求中携带的所述小程序服务端的地址信息，确定该小程序在该客户端的该宿主应用程序中向该外部小程序服务端发送该数据类型的隐私数据的次数；
[0038]确定该次数是否达到预设次数阈值，如果达到，则确认所述网络请求存在风险，否则，确认所述网络请求不存在风险。
[0039]根据第三方面，提供了小程序风险检测装置，位于客户端，包括：
[0040]接收单元，被配置为接收小程序向外部小程序服务端发送的网络请求；其中，预先用Hook方式或静态代码替换方式，对宿主应用程序提供的外部网络接口进行切面，当小程序调用该外部网络接口向外部小程序服务端发送网络请求时，将该小程序调用该外部网络接口所对应的执行逻辑路由到预置在宿主应用程序中的安全切面模块，以由所述接收单元接收小程序向外部小程序服务端发送的网络请求；
[0041]识别单元，被配置为识别所述网络请求携带的请求数据中是否包括隐私数据；
[0042]生成单元，被配置为在所述请求数据中包括隐私数据时，生成识别结果；
[0043]发送单元，被配置为将所述识别结果发送给外部服务器，以使所述服务器根据所述识别结果对所述网络请求进行风险确认；
[0044]所述处理单元，被配置为接收所述服务器返回的风险确认结果，并根据所述风险确认结果对所述网络请求进行处理；
[0045]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.小程序风险检测方法，应用于客户端，包括：预先用Hook方式或静态代码替换方式，对宿主应用程序提供的外部网络接口进行切面，当小程序调用该外部网络接口向外部小程序服务端发送网络请求时，将该小程序调用该外部网络接口所对应的执行逻辑路由到预置在宿主应用程序中的安全切面模块；所述宿主应用程序中的安全切面模块接收小程序向外部小程序服务端发送的网络请求；所述宿主应用程序中的安全切面模块识别所述网络请求携带的请求数据中是否包括隐私数据；在所述请求数据中包括隐私数据时，所述宿主应用程序中的安全切面模块生成识别结果；所述宿主应用程序中的安全切面模块将所述识别结果发送给外部服务器，以使所述服务器根据所述识别结果对所述网络请求进行风险确认；所述宿主应用程序中的安全切面模块接收所述服务器返回的风险确认结果，并根据所述风险确认结果对所述网络请求进行处理；其中，所述识别所述网络请求携带的请求数据中是否包括隐私数据，包括：识别所述网络请求携带的请求数据是否满足预先设置的字符串规则，如果满足，则确定所述数据请求中包括隐私数据；否则，确定所述数据请求中不包括隐私数据；其中，所述字符串规则包括：字符串匹配逻辑和/或正则表达式；当所述字符串规则包括字符串匹配逻辑时，如果所述请求数据与该字符串规则中包括的字符串相同，则确定所述请求数据中包括隐私数据；当所述字符串规则包括正则表达式时，该正则表达式规定字符串格式，如果所述请求数据符合该字符串格式，则确定所述请求数据中包括隐私数据。2.根据权利要求1所述的方法，在所述识别所述网络请求携带的请求数据中是否包括隐私数据之前，进一步包括：利用数据状态机解释器对所述网络请求携带的请求数据进行解释，将解释结果确定为所述网络请求携带的请求数据，并执行所述识别所述网络请求携带的请求数据中是否包括隐私数据。3.根据权利要求1所述的方法，其中，所述生成识别结果，包括：获取下述至少一种信息：所述隐私数据的数据类型、所述小程序的身份信息、宿主应用程序的身份信息、客户端的身份信息以及所述网络请求中携带的所述小程序服务端的地址信息；其中，所述宿主应用程序为所述小程序依赖运行的应用程序；将获取的上述至少一种信息确定为所述识别结果。4.根据权利要求1所述的方法，其中，所述根据所述风险确认结果对所述网络请求进行处理，包括：在所述风险确认结果为存在风险时，对所述网络请求不进行处理；在所述风险确认结果为不存在风险时，根据所述网络请求中携带的所述小程序服务端的地址信息，通过预置的外部网络接口将所述网络请求发送给所述小程序服务端。5.基于权利要求1至4中任一所述方法实现的小程序风险检测方法，应用于服务器，包括：
获取客户端发送的识别结果；所述识别结果用于表征小程序向外部小程序服务端发送的网络请求携带的请求数据中包括隐私数据；根据所述识别结果对所述网络请求进行风险确认；将风险确认结果发送给所述客户端，以使所述客户端根据所述风险确认结果对所述网络请求进行处理。6.根据权利要求5所述的方法，其中，所述识别结果包括：隐私数据的数据类型和所述小程序的身份信息；所述根据所述识别结果对所述网络请求进行风险确认，包括：根据所述识别结果中包括的所述小程序的身份信息...

【专利技术属性】
技术研发人员：曹世杰，李文杰，赵豪，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：