微信扫码登录

其他登录方式

绑定手机号

注册

我同意用户协议

忘记密码

用户协议

绑定手机号

近期有不法分子打着爱盈利的旗号,制作“爱盈利”名称的App,并伪造爱盈利证件,骗取用户信任,以抖音点赞赚钱或其他方式赚钱为名义,过程中以升级会员获得高佣金为名让用户充值。
爱盈利公司郑重声明:我司没有研发或运营过任何名为“爱盈利”的APP,我司做任务赚钱类产品从没有让任何普通用户充值升级会员。我公司产品均在本网站可查询,请将网站拉至底部,点击“关于我们”可查看爱盈利相关产品与服务。
温馨提示:当遇到此类问题请拨打官方电话或添加官方微信,以免财产损失。爱盈利官网地址:www.aiyingli.com。
  • 推广与合作
X

小程序丨我们正在使用的微信小程序安全吗?

来源: 4176

在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在322日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。

微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?

知道创宇在两会期间义务为党政府机关和企事业单位提供微信小程序安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。

经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。

我们正在使用的微信小程序安全吗?

我们正在使用的微信小程序安全吗?

我们正在使用的微信小程序安全吗?

针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。

由此可见,小程序安全问题大有可观

安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。

微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。

评论

相关文章推荐

SELECT dw_posts.ID,dw_posts.post_title,dw_posts.post_content FROM dw_posts INNER JOIN dw_term_relationships ON (dw_posts.ID = dw_term_relationships.object_id) WHERE 1=1 AND(dw_term_relationships.term_taxonomy_id = 3287 ) AND dw_posts.post_type = 'post' AND (dw_posts.post_status = 'publish') GROUP BY dw_posts.ID ORDER BY RAND() LIMIT 0, 6

京ICP备15063977号-2 © 2012-2018 aiyingli.com. All Rights Reserved. 京公网安备 11010102003938号