新零售的发展风头依然强劲，市场规模持续扩大，越来越多的传统零售商家开始逐步转型到新零售领域。小程序作为线上销售的重要渠道应用广泛，已成为企业品牌数字化转型重要载体。

零售小程序场景常见痛点有哪些？阿拉丁又是如何帮助客户解决这些问题呢？

营销活动被黑产侵害，如何破解难题？

某鞋类品牌，在促销活动期间，官方小程序 " 尖货 " 发售秒光，90% 的福利被机器人刷走。常见的黑灰产侵害方式不胜枚举：

黑产账户大量刷单、抢券或利用小程序漏洞，谋取不正当利益，导致商家的营销费用被薅走；

大量垃圾注册骗取新用户优惠，导致商家损失严重；

黑产不断升级手法，雇佣机器人，真人进行恶意刷单，恶意打击难度不断增加……

面对这些问题，不妨来看看阿拉丁联合腾讯安全为您提供的解决方案——企业级小程序安全系列专项方案。

不同层次的小程序安全检测，扼杀潜在风险。客户端代码安全检测，采用静态扫描，检测小程序代码是否有敏感信息泄露、代码保护强度是否足够等；服务器安全检测，检测服务器是否使用的有漏洞或易被攻击的软件，是否存在不合理的服务配置等；业务逻辑安全检测，对小程序业务的安全性进行检查，检查业务是否存在风险，拥有何种权限，是否含有广告等；小程序特有安全检测，检测小程序调用 API 是否符合规范，是否有客户信息或会话信息泄露等风险；服务组件安全检测，对 JSONP 漏洞、Fastjson 漏洞、Structs2 漏洞、ThinkPHP 等漏洞进行检测；数据隐私合规检测，小程序开发者处理的信息类型、第三方插件信息以及 SDK 上报的隐私信息类型。

数据被 " 盗 "，如何坚守用户信任？

某外卖小程序用户、商品数据外泄，导致用户以及产品受到重创。这种情况在新零售平台多次发生，黑客一直嗅探平台接口，寻找各种漏洞，造成业务数据篡改和专卖；有的黑客通过机器人暴力破解或其他机器模拟登录，进行账号和信息盗取；更有甚者平台内部人员监守自盗，窃取或毁坏数据，造成不可逆损伤 。

企业级小程序安全系列专项方案中小程序安全加固服务可以防止以上问题发生。

防逆向  

通过对 JS 文件中的变量名进行无意义混淆，降低代码可读性，使代码不易被逆向分析；

防篡改

可避免包内被修改后所有代码类文件进行二次打包；

防调试  

实时检测程序调试状态，防止代码逻辑暴露；

代码混淆

对原始代码的控制流和字符串、函数等进行切分、隐藏等操作，混淆程序语义而不影响原逻辑；

更多加固项：代码压缩、代码膨胀、控制流平坦化、代码编码式加密、代码算法式加密、代码虚拟化……

平台 " 崩瘫 "，如何保障产品安全运营？

某商超小程序做活动期间，" 某名酒抢购 " 一上线就白屏，业务中断了 4 小时。可见活动力度非常具有诱惑力，也被黑客紧盯不放。这种情况一般是以下两种情况：

一是黑客发动 DDS&CC 攻击，平台资源被占用，系统瘫痪，页面访问速度变慢，影响活动正常进行。

二是小程序商城后端存在性能瓶颈，高并发时无法支撑，来不及扩容，黄金抢购时间已过，营销资金打水漂。

针对这种情况，首先需要进行小程序安全检测，检测服务器是否使用的有漏洞或易被攻击的软件，是否存在不合理的服务配置等；检测完成确定问题来源，再针对性实施方案措施。

企业级小程序安全系列专项方案具有天然优势，全栈式实时风控引擎，面对各行业，不同业务节点进行实时防护。

" 不合规 " 内容频现，如何维护平台内容明朗？

某电商直播小程序评论区出现大量违规内容，用户上传图片、评论、评价、视频、

直播等内容涉及违规内容；有的不符合微信 API 规范，出现仿冒小程序或公众号，损害品牌形象和利益。

内容安全产品的核心价值在于人工运营的高可用结果、机器识别的高时效性以及能够快速响应不同客户审核需求的策略平台。

阿拉丁联合腾讯安全的解决方案以接口输入、内容预处理、模型识别、策略辅助、平台调度分析、人工标注运营共 6 个维度为用户提供完整的内容安全护航，让企业一次接入即可完成整套审核。

采用前沿的图像识别算法，结合海量的违规图像数据进行训练建模，对用户上传的违规图像内容进行过滤。对图片中出现的文本采用 OCR 识别并进行文本内容审核，能够做到识别准确率高、召回率高，多维度覆盖对内容审核的要求，并实时跟进标准要求，不停地更新审核服务的识别标准和能力。