在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨H5究竟是什么?三张图告诉你H5内涵
谈到互联网的发展趋势,必然会提及一个热词:H5。那么H5是什么?第九程序将简单梳理一下H5作品分析结果,让你更快速了解H5情况。H5作品分类占比图我们可以从图中看出作品占比前三分别为品牌宣传(24%)、产品展示(17%)、知识类(17%)。如果我们把....
-
文案总是写不好?这30条方法让你功力倍增!
爱盈利-运营小咖秀(www.aiyingli.com)始终坚持研究分享移动互联网App运营推广经验、策略、全案、渠道等纯干货知识内容;是广大App运营从业者的知识启蒙、成长指导、进阶学习的集聚平台;想了解更多移动互联网干货知识,请关注微信公众号运营小....
-
小程序丨优惠券这样用能月入百万,还有那些你不知道的互联网职业潜规则
电商刷手从一开始出现到近几年的风风火火,就说淘宝、京东,都离不开他们随着店家的增多,出现良莠不齐的现象,各种推广方式层出不穷于是就这么产生了运送的其实都是一些空包裹刷手确认收货后,给商家刷好评,每一单都会有2报酬,这些虚假信息来。一些上甚至职位有些鲜....
-
小程序丨还不知道微信小程序?不知不觉的体验会让你爱上TA!
先来一条时间线:2016年1月11日,微信之父张小龙公开演讲,说到拆分出来的服务号并没有提供更好的服务,所以微信内部正在研究新的形态,叫「微信小程序」。2016年9月21日,微信小程序正式开启内测。2017年1月9日,微信小程序正式上线。但是上线以来....
-
美工、文案惨遭血洗!阿里智能应用惊掉你的下巴
人工智能浪潮大热的背景下,你一定听说过设计素材的智能大脑鲁班。它在去年双十一的时候,它撸完了4亿张Banner,每秒钟能设计8000张海报!后来阿里巴巴公布消息称,这个引起设计界热议和恐慌的鲁班智能设计平台,后来改叫鹿班了。鹿班的功能如下:一键生成:....
-
活动运营最愁啥?人人人人人人人·····
“只有你自己知道,每次活动的参与人数都是你发动七大姑八大姨才凑齐的。”这句话,被很多运营人拿出来自嘲,但也揭示了运营人的焦虑。无论是出于获客新增,还是品牌宣传,亦或是增加收益的目的,运营人首先要解决的都是把活动传播开,保证有足够多的人参与。这是流量池....