小程序丨我们正在使用的微信小程序安全吗？

在今年的两会上，与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后，在3与22日，“外交部12308”正式上线。而两会上另一个话题——互联网安全，也不可避免地让人联想到现在“即用即走”的微信小程序。

微信小程序不用安装，有的扫码就能用，有的要在微信中搜索进入，而这种方便快捷的使用方式是不是真的就能减少安全隐患呢？

知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞，可导致大量平台用户信息及订单信息泄露。

经测试，小程序在获取用户订单列表时直接使用PassportId参数进行查询，未验证查询参数PassportId是否与查询人会话身份(session)匹配，这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表，从而获取用户信息。

针对该问题，知道创宇建议，在获取用户数据时添加会话验证，只允许读取当前登录用户的订单信息，由此有效避免个人信息泄露。

由此可见，小程序安全问题大有可观

安全服务团队结合小程序特点对小程序做了大量分析后发现，大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题，一旦这些问题爆发，对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。

微信小程序使用便捷的特点，是用户接受小程序的最大原因。并且，微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序，而一些并不严谨的开发者如果只为图快，不考虑安全问题的话，就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时，更要注重对信息的保护，那才是真正便民的小程序。