在今年的两会上,与微信小程序有关的是外交部部长王毅表示会在两周后推出12308微信版。此后,在3与22日,“外交部12308”正式上线。而两会上另一个话题——互联网安全,也不可避免地让人联想到现在“即用即走”的微信小程序。
微信小程序不用安装,有的扫码就能用,有的要在微信中搜索进入,而这种方便快捷的使用方式是不是真的就能减少安全隐患呢?
知道创宇在两会期间义务为党政府机关和企事业单位提供“微信小程序”安全测试。其中发现某大型企业的小程序存在遍历漏洞,可导致大量平台用户信息及订单信息泄露。
经测试,小程序在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息。
针对该问题,知道创宇建议,在获取用户数据时添加会话验证,只允许读取当前登录用户的订单信息,由此有效避免个人信息泄露。
由此可见,小程序安全问题大有可观
安全服务团队结合小程序特点对小程序做了大量分析后发现,大部分小程序的开发者可能会在小程序编写上存在SQL注入、越权访问、文件上传、CSRF信息泄露等严重安全问题,一旦这些问题爆发,对财产安全、用户信息、用户信任度等方面都会产生极其恶劣的影响。
微信小程序使用便捷的特点,是用户接受小程序的最大原因。并且,微信小程序新增的对个人开发者开放注册小程序的功能势必会让无数的开发者尝试开发小程序,而一些并不严谨的开发者如果只为图快,不考虑安全问题的话,就会导致大量的微信小程序存在各种安全隐患。所以在图方便的同时,更要注重对信息的保护,那才是真正便民的小程序。
相关文章推荐
-
小程序丨encryptedData如何解密?
官方例子根本没有C#的,有JS的但是居然依赖第三方JS,根本没给全,百度了一大堆方法真没搞懂。。网友回复:天***:C#的解密案例,可以参考我这篇民间的帖子:http://www.wxapp-union.com/forum.php?mod=viewt....
-
小程序丨右上角对齐,真机和模拟器
/*活动Image*/.huodong{width:76rpx;height:66rpx;position:absolute;right:0;float:right}viewstyle=width:500rpx;height:160rpx;displ....
-
小程序丨【已解决】小程序无法预览,开启调试模式后正常
RT,求解是为什么?真机预览,页面一片空白,不知道是哪里出错,然后打开调试模式查看log。却发现打开调试模式后一切正常。希望有相关人员能够看下。PS:开发者工具上完全没有问题!网友回复:东***:而且因为打开调试就一切正常,所以根本没办法判断到底是哪....
-
小程序丨【已解决】公众号进入小程序
(adsbygoogle=window.adsbygoogle||[]).push({});请问能否在公众号的页面下通过某一链接进入相关小程序网友回复:青***:可以的你要不是h5是文章就可以巨***:装修实例青***:楼上大哥发个3Dmax渲染的室....
-
小程序丨【已解决】小程序如何求和?
+号变连接符?网友回复:简***:不能在js里面算好了往wxml里面传吗大***:这是字符串了,用parserfloat转化为数字新***:都拿到了item了,直接在js里计算出值显示然后serData({amount:amount}),不好?毕竟页....
-
小程序丨【已解决】官, 急, 求苹果获取地理位置导致微信本身异常问题已解决否? ... ...
数月前,偶遇一bug,见状遂发帖,官告已知,请等待.近日版本多更新,此bug未得见,遂问,萬望解惑.原帖如下:苹果版本,调用wx.getLoation()地址无法搜索网友回复:L***:链接中描述的问题已确认修复上线,刚刚经过验证6.5.16版本中无....
