在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨【已解决】wx.previewImage真机无法预览gif,换为png则正常
开发者工具上均能正常预览,图片是网络图片,使用https协议,https://domain/images/xxx.gif使用gif格式时,不管图片多大,黑屏中央显示loading图标,永远无法加载。换png正常,测试机型iPhone6S、iPhone....
-
小程序丨【已解决】求审核,双11,求救
wx872f5b4fe6dc36a8wxa522fbac00f44564求审核啊,双11赶不上了两天了没消息。网友回复:L***:抱歉,为维护社区的观看,按照社区公告规定,未满7个工作日未审核的审核贴暂不予反馈,请耐心等待审核结果。详情见:微信小程序....
-
心态爆炸!code无效,invalid code, hints 微信小程序教程
code无效,给你方法(adsbygoogle=window.adsbygoogle||[]).push({});publicfunctionlogin(Request$request){request-getContent();if(empty($....
-
小程序丨【已解决】小程序审核
请管理帮我看看,我的审核都一星期了,怎么还在审核中,谢谢,ID:wx81be784ba98e1032网友回复:L***:抱歉,请提供一下您审核中的截图P***:麻烦亲爱的管理处理下,谢谢,因为之前二次知道类目原因,还是怎么的没审核通过,这一次又6天了....
-
小程序丨【已解决】急急急急!小程序求审核通过-微信小程序教程
(adsbygoogle=window.adsbygoogle||[]).push({});1月19上午提审,【已解决】canvasToTempFilePath:failnoimage##小程序开发。同时间提交审核的小程序都审核通过了,我的还没审核,....
-
小程序丨wxss建议人性化
其实小程序可以人性化一点,做wxss把空格去掉网友回复:林***:抱歉完全没有明白你在说什么。可否详细描述下问题?先关闭问题,详细描述后打开爱盈利(aiyingli.com)移动互联网最具影响力的盈利指导网站。定位于服务移动互联网创业者,移动盈利指导....
