在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
2017-2018年微信小程序市场研究报告:1年狂揽4亿用户,流量红利Q4集中爆发
1.7亿日活、上线58万个在刚刚结束的2018微信公开课PRO版上,微信官方对小程序过去一年的表现交出了一份满意的答卷,但开发者仍需在此基础上对小程序市场表现有更全面的了解。近日,一份《2017-2018年微信小程序市场发展研究报告》发布,对过去一年....
-
小程序丨微信小程序目前最大的问题是”无处可扫”?
!!,,201794.9%9.2%35.2%35.2%64.7%App11.5%而对这种情况微信团队并不是很在意而且还对微信小程序保持乐观的态度。并对外界称“小程序并不是外界理解的‘风口’或是‘巨大的流量入口,希望大家更多的扫码去获取小程序服务。就连....
-
苹果正秘密研发 iPhone 之外的新产品
PingWest品玩3月1日报道,CNBC称,苹果公司CEO库克周二在年度股东大会上表示,该公司还有一些iPhone之外的产品正在开发中,这些产品对苹果的增长至关重要。库克表示,苹果正投入大量资金进行研发,包括一些"未来的东西,现在还不能谈论。尽管苹....
-
为什么周黑鸭、喜茶、三只松鼠都没生在北上广?
本文来自公众号:新消费内参(ID:cychuangye)作者:龙猫君【新消费导读】今天的后台,有人跟龙猫君问了一个有意思的问题。这个问题是这样的,有人在后台问到,为什么周黑鸭、喜茶、三只松鼠这几个目前最炙手可热的消费品牌都诞生在非北、上、广这样的一线....
-
18个变异条形码:设计师邪恶起来,连条形码都不放过
本文来自公众号:设计癖(ID:shejipi)作者:设计癖都说设计师是这个世界上脑洞最大的一帮人,要是想玩点花样,什么东西都能被他们这群人玩死。如果他们真的再邪恶一点,就连条形码都不放过,看这18个变异的条形码你就懂了。01厕纸厕纸的这个条形码真是太....
-
如何做出刷爆朋友圈的内容?要讲逻辑!
你对内容运营感兴趣,你讲情怀笔下生花天马行空文思泉涌,你想做内容运营?不好意思。做内容运营,你还需要一些逻辑性。什么是逻辑?逻辑是认识世界的钥匙,指导着我们的认知与理解。内容运营的逻辑性有四点:选题的逻辑,收集素材的逻辑,编写文案的逻辑,展示的逻辑。....